A közelmúltban megjelent GLSA szerint a MIT Kerberos 5 library "high" besorolású sebezhetőséget tartalmaz, ezért erősen ajánlott frissíteni. Ugyanakkor ez a frissítés nem teljesen problémamentes.A gond az, hogy korábban a libcom_err library-ból a heimdal, a mit-krb5, és az e2fsprogs csomag is feltelepített egy-egy saját verziót, egymás kölcsönös felülírásával, miközben a libcom_err library alapvetően az e2fsprogs csomaghoz tartozott volna.
Ezt a hibás gyakorlatot a Gentoo fejlesztők azzal orvosolták, hogy az e2fsprogs csomagból kivették és külön csomagba tették az ss, és a com_err library-kat. Az új rendszer bekerült a teszt ágba. Időközben azonban a mit-krb5 csomag új verziója - sebezhetősége miatt - be kellett, hogy kerüljön a stabil ágba, ami azonban a frissítéskor a libcom_err.so.3 libraryt törli, és csak a libcom_err.so.2-es verzióig lesz a library elérhető.
Ez minden olyan programot működésképtelenné tesz, amelyik a libcom_err.so.3 libraryra hivatkozik. Ilyen például a Samba, az SSH, esvn, stb.
Az upgrade során természetesen kapunk egy figyelmeztetést, hogy futtassuk le a revdep-rebuild-et, de ez a figyelmeztetés sokaknak elkerüli a figyelmét. Ráadásul a revdep-rebuild nem minden verziója működik tökéletesen, tehát erre is oda kell figyelni (a sikeres revdep-rebuild egyébként megoldja a problémát).
Az erről szóló thread itt.
És Seemant postja, ahol leírja, hogy pontosan mi is a probléma:
"So Kang showed me this forums thread. Man, it seems like I break more of you each time I adjust something. So, just to set the record straight about why this silliness/foolishness even occured:
mit-krb5-1.3 and 1.4 both had serious security vulnerabilities in them. We patched those just fine. Meanwhile, there was this issue of libcom_err and libss being provided by three packages: heimdal, mit-krb5 and of course e2fsprogs. The one from e2fsprogs is generally considered the canonical one and is used as the default system libs in most distros. Gentoo had a constant situation of one package's upgrade overriding anothers. So, we decided to break out ss and com_err into their own ebuilds (provided by the e2fsprogs sources) and let all three just depend/rdepend on them instead. That way, with some clever configuration scripts and patching, we were able to have no more overwriting.
Now, on the one hand, had we left things as they had been, the next e2fsprogs update would've broken people.
So, having said all this -- heimdal and mit-krb5 both had testing versions that depended upon the broken out libs, but due to multiple security vulnerabilities in each (and one more coming soon) they *had* to get upgraded. I was left with the following choice: continue broken behaviour of lib overwriting, leading to problems sporadically with e2fsprogs or mit-krb5's update breaking other things, or do the separate libs thing and issue revdep warnings? I opted for the latter.
But now in this thread I see that revdep-rebuild doesn't even work. For those willing does:
revdep-rebuild --soname libcom_err.so.3 work? Because if so, I'll happily change the postinst messages to be more specific.
Again, I'm terribly sorry for the inconvenience."