39090 2020-10-17 19:23:06 +0300 Удалить устаревший python3-module-runfile с вредной командой /usr/bin/run 2021-06-10 19:37:22 +0300 1 1 4 Development Sisyphus python3-module-runfile unstable x86_64 Linux CLOSED FIXED P3 major --- 39093 1 lav viy antohami cas cow darktemplar evg george imz lav mithraen nbr qa_viy rider sem shaba sin slev vitty viy qa-sisyphus oldest_to_newest 193308 0 lav 2020-10-17 19:23:06 +0300 Устаревший пакет python3-module-runfile имеющий упакованную команду с ужасным названием /usr/bin/run все апстримы которого удалены каким-то образом пролез в зависимости пакетов, которые к нему не имеют отношения: $ apt-cache whatdepends python3-module-runfile xmvn-subst-3.0.0-alt1_23jpp8:sisyphus+234592.200.1.1@1563216657 xmvn-resolve-3.0.0-alt1_23jpp8:sisyphus+234592.200.1.1@1563216657 xmvn-install-3.0.0-alt1_23jpp8:sisyphus+234592.200.1.1@1563216657 xmvn-bisect-3.0.0-alt1_23jpp8:sisyphus+234592.200.1.1@1563216657 xml-commons-resolver-0:1.2-alt1_29jpp8:sisyphus+246085.100.1.1@1581616616 xjparse-1.0-alt1_21jpp8:sisyphus+246083.100.1.1@1581615498 xerces-j2-0:2.12.0-alt1_4jpp8:sisyphus+246082.100.1.1@1581615230 woden-tool-1.0-alt2_0.20.M10jpp8:sisyphus+231052.100.1.1@1559297548 tycho-1.3.0-alt0.1jpp:sisyphus+234227.100.1.1@1562757611 sweethome3d-6.1-alt1_2jpp8:sisyphus+243832.100.1.1@1578084515 svnkit-cli-1:1.8.12-alt1_7jpp8:sisyphus+246326.100.1.3@1581791299 sdljava-demo-0.9.1-alt2_44jpp8:sisyphus+249057.100.1.1@1585692780 saxon8-scripts-0:B.8.7-alt4_4jpp6@1455481233 saxon6-scripts-0:6.5.5-alt6_3jpp6@1455480254 saxon-scripts-0:9.4.0.9-alt1_10jpp8:sisyphus+249056.100.1.1@1585692791 rhino-1:1.7.7.1-alt1_9jpp8:sisyphus+246352.100.1.1@1581791357 rachota-2.3-alt1_18.20130104cvsjpp8:sisyphus+246348.100.1.1@1581791086 proguard-5.3.3-alt1@1491351083 procyon-decompiler-srcs-0.5.33-alt1_0.3.pre02jpp8:sisyphus+246346.100.1.2@1581795755 procyon-decompiler-javadoc-0.5.33-alt1_0.3.pre02jpp8:sisyphus+246346.100.1.2@1581795755 procyon-decompiler-0.5.33-alt1_0.3.pre02jpp8:sisyphus+246346.100.1.2@1581795755 portecle-1.10-alt1_5jpp8@1524142999 plantuml-2:1.2019.1-alt1_6jpp8:sisyphus+258000.100.1.1@1600081569 pdftk-2.02.java-alt1@1532621070 opticalraytracer-2.7-alt2_12jpp8@1454447794 objectweb-asm3-3.3.1-alt1_23jpp8:sisyphus+246361.100.1.1@1581799825 objectweb-asm-0:7.0-alt1_4jpp8:sisyphus+246362.100.1.3@1581801326 nekohtml-0:1.9.22-alt1_11jpp8:sisyphus+246358.100.1.1@1581799490 mvel-2.2.8-alt1_9jpp8:sisyphus+246410.100.1.2@1581814996 msv-msv-1:2013.6.1-alt1_16jpp8:sisyphus+246409.100.1.2@1581814737 modello-0:1.9.1-alt1_8jpp8:sisyphus+230732.100.1.3@1559118099 metadata-extractor2-2.10.1-alt1_7jpp8:sisyphus+246404.100.1.3@1581813986 liquibase-3.7.0-alt1_1jpp8:sisyphus+259881.200.1.2@1602666246 jtidy-3:1.0-alt3_0.31.20100930svn1125jpp8:sisyphus+246171.100.1.1@1581628409 jpanoramamaker-5.6-alt1_11jpp8:sisyphus+246163.100.1.1@1581627804 trang-0:20151127-alt1_8jpp8:sisyphus+246148.100.1.1@1581626529 jing-0:20151127-alt1_8jpp8:sisyphus+246148.100.1.1@1581626529 dtdinst-0:20151127-alt1_8jpp8:sisyphus+246148.100.1.1@1581626529 jflex-0:1.7.0-alt1_1jpp8:sisyphus+259612.100.1.1@1602395119 jeuclid-mathviewer-2:3.1.9-alt1_2:sisyphus+246974.100.1.1@1582654613 jeuclid-cli-2:3.1.9-alt1_2:sisyphus+246974.100.1.1@1582654613 jdiff-0:1.1.1-alt3_17jpp8:sisyphus+230875.100.1.1@1559224431 javahelp2-0:2.0.05-alt4_27jpp8:sisyphus+246104.100.1.1@1581622400 javacc-0:7.0.4-alt1_4jpp8:sisyphus+246099.100.1.1@1581622054 java-runtime-decompiler-3.0-alt1_9jpp9:sisyphus+259778.100.1.1@1602501064 jarjar-0:1.4-alt1_23jpp8:sisyphus+230706.100.1.3@1559107980 jardiff-0:0.2-alt9_3jpp6@1511041948 itext-toolbox-1:2.1.7-alt3_41jpp8:sisyphus+230451.100.1.1@1558978106 itext-rups-1:2.1.7-alt3_41jpp8:sisyphus+230451.100.1.1@1558978106 groovy18-1.8.9-alt1_33jpp8:sisyphus+230386.100.1.2@1558959081 gogui-1.4.9-alt2_7jpp8:sisyphus+259450.100.1.1@1602184333 fop-0:2.2-alt1_4jpp8:sisyphus+232748.200.2.2@1561094573 fernflower-183.5153.8-alt1_4jpp8:sisyphus+246423.100.1.1@1581832771 ecj-1:4.12-alt1_2jpp8:sisyphus+259802.100.1.1@1602532296 ditaa-0.10-alt1_8jpp8:sisyphus+246465.100.1.1@1581842227 derby-0:10.13.1.1-alt1_4jpp8:sisyphus+230301.100.1.2@1558929230 daps-3.0.0-alt1:sisyphus+251683.320.6.1@1589484043 closure-compiler-1:20160315-alt1_11jpp8:sisyphus+259625.100.1.3@1602399484 checkstyle-0:8.0-alt1_6jpp8:sisyphus+230684.100.1.3@1559095912 bsh-0:2.0-alt1_16.b6jpp8:sisyphus+246487.100.1.1@1581862559 batik-ttf2svg-0:1.10-alt1_4jpp8:sisyphus+230679.100.1.3@1559093898 batik-svgpp-0:1.10-alt1_4jpp8:sisyphus+230679.100.1.3@1559093898 batik-squiggle-0:1.10-alt1_4jpp8:sisyphus+230679.100.1.3@1559093898 batik-slideshow-0:1.10-alt1_4jpp8:sisyphus+230679.100.1.3@1559093898 batik-rasterizer-0:1.10-alt1_4jpp8:sisyphus+230679.100.1.3@1559093898 arduino-1:1.8.5-alt3_8jpp8:sisyphus+259521.100.1.1@1602262961 aqute-bnd-0:3.5.0-alt1_8jpp8:sisyphus+246478.100.1.1@1581862098 apache-rat-core-0.13-alt1_7jpp8:sisyphus+259693.100.1.3@1602438700 antlrworks-1.5.2-alt1_14jpp8:sisyphus+246473.100.1.3@1581862997 antlr4-4.5.2-alt1_7jpp8:sisyphus+230654.100.1.3@1559082392 antlr3-tool-1:3.5.2-alt1_30jpp8:sisyphus+259700.100.1.2@1602439441 antlr-tool-0:2.7.7-alt12_59jpp8:sisyphus+259618.100.2.2@1602399206 OpenStego-0.7.3-alt1_5jpp8:sisyphus+246270.100.1.1@1581694896 Mars-4.5-alt3_10jpp8:sisyphus+246269.100.1.1@1581694829 HdrHistogram-2.1.9-alt1_7jpp8:sisyphus+230702.100.1.3@1559106615 CardManager-3-alt1_14jpp8:sisyphus+246268.100.1.1@1581694585 swi-prolog-java-7.4.2-alt2_5:sisyphus+246553.100.1.1@1581959139 bolzplatz2006-1.0.3-alt1_42jpp8:sisyphus+246485.100.1.1@1581862580 193309 1 lav 2020-10-17 19:29:07 +0300 Игорь, я сделал задание на удаление: http://git.altlinux.org/tasks/260033/logs/events.1.1.log но пока не смог обнаружить, где вы добавляете эту зависимость. Надеюсь, у вас будут идеи, что изменить. А потом перевесьте багу на меня, я завершу удаление. Особенно странно, что там прямая зависимость на пакет: checkstyle-0:8.0-alt1_6jpp8:sisyphus+230684.100.1.3@1559095912 Требует: python3-module-runfile 193310 2 lav 2020-10-17 19:39:46 +0300 (Ответ для Vitaly Lipatov на комментарий #1) ... > Особенно странно, что там прямая зависимость на пакет: > checkstyle-0:8.0-alt1_6jpp8:sisyphus+230684.100.1.3@1559095912 > Требует: python3-module-runfile Что ещё страннее, при этом пакет не имеет зависимости :) $ rpm -q --requires checkstyle javapackages-tools /bin/sh /bin/sh /usr/share/java-utils/java-functions mvn(antlr:antlr) mvn(com.google.guava:guava) mvn(com.sun:tools) mvn(commons-beanutils:commons-beanutils) mvn(commons-cli:commons-cli) mvn(org.antlr:antlr4-runtime) python3-module-runfile /usr/bin/install-catalog rpmlib(PayloadIsLzma) 193311 3 lav 2020-10-17 19:47:19 +0300 (Ответ для Vitaly Lipatov на комментарий #2) > (Ответ для Vitaly Lipatov на комментарий #1) > ... > > Особенно странно, что там прямая зависимость на пакет: > > checkstyle-0:8.0-alt1_6jpp8:sisyphus+230684.100.1.3@1559095912 > > Требует: python3-module-runfile > > Что ещё страннее, при этом пакет не имеет зависимости :) ... Я ошибся, конечно, она там была В спеках вписан такой макрос: %filter_from_requires /^.usr.bin.run/d В логах проявляется find-requires: FINDPACKAGE-COMMANDS: run Видимо, сначала модуль runfile случайно попал, а потом стал вирусной зависимостью. На самом деле run это функция в /usr/share/java-utils/java-functions из javapackages-tools Который вызывается в скриптах запуска, типа fop.script, идущих с пакетами. Создавать ли багу, что find-requires для shell находит пакет вместо функции? 193312 4 lav 2020-10-17 19:53:52 +0300 (Ответ для Vitaly Lipatov на комментарий #3) > (Ответ для Vitaly Lipatov на комментарий #2) > > (Ответ для Vitaly Lipatov на комментарий #1) > > ... > > > Особенно странно, что там прямая зависимость на пакет: > > > checkstyle-0:8.0-alt1_6jpp8:sisyphus+230684.100.1.3@1559095912 > > > Требует: python3-module-runfile > > > > Что ещё страннее, при этом пакет не имеет зависимости :) > ... > Я ошибся, конечно, она там была > > В спеках вписан такой макрос: > %filter_from_requires /^.usr.bin.run/d Он такой не будет работать, потому что /usr/bin/run конвертируется в пакет, откуда она берётся. Поэтому его нужно убрать из спеков, чтобы не создавал видимость. 193313 5 lav 2020-10-17 20:30:35 +0300 Зловредный модуль python3-module-runfile проник в сборочные зависимости 1197 пакетов! Из них в 163 пакета gnome/gtk, через yelp-tools (требующий jing), который они используют при сборке. Мне кажется, что yelp-tools не стоило вообще ничего тащить из Java. 193414 6 lav 2020-10-22 03:12:01 +0300 (Ответ для Vitaly Lipatov на комментарий #1) > Игорь, я сделал задание на удаление: > http://git.altlinux.org/tasks/260033/logs/events.1.1.log Я пересобрал python3-module-runfile, удалив из него /usr/bin/run. Видимо, при очередной или внеочередной пересборке зависимость пропадёт. 193428 7 viy 2020-10-22 13:50:20 +0300 (Ответ для Vitaly Lipatov на комментарий #6) > (Ответ для Vitaly Lipatov на комментарий #1) > > Игорь, я сделал задание на удаление: > > http://git.altlinux.org/tasks/260033/logs/events.1.1.log > Я пересобрал python3-module-runfile, удалив из него /usr/bin/run. > Видимо, при очередной или внеочередной пересборке зависимость пропадёт. Спасибо, действительно, теперь пересборка поможет. 193454 8 lav 2020-10-22 22:14:28 +0300 (Ответ для Vitaly Lipatov на комментарий #5) ... > Мне кажется, что yelp-tools не стоило вообще ничего тащить из Java. Завёл багу по этому поводу: https://bugzilla.altlinux.org/show_bug.cgi?id=39114 198985 9 viy 2021-06-06 23:40:05 +0300 я в /usr/share/java-utils/java-functions сделал хак, функцию jvm_run, и переезжаю везде на использование именно jvm_run. Попробую за июнь пересобрать все свои пакеты, у которых shell.req поставил паразитную зависимость /usr/bun/run. 199057 10 viy 2021-06-08 21:57:15 +0300 пакет готов к удалению. Удаляем? 199061 11 lav 2021-06-09 01:37:17 +0300 (Ответ для viy на комментарий #10) > пакет готов к удалению. > > Удаляем? Да, запустил удаление. 274088 PENDING #2 sisyphus del=python3-module-runfile [#274088] DONE (try 2) del=python3-module-runfile