我正在编译一个程序(碰巧是用Rust编写的),我想与很老的和过时的系统兼容,包括一些EOL-ed linux发行版。这样做的主要障碍是较旧的系统没有最近的glibc二进制文件。
解决方案并不复杂,您必须简单地链接到一个非常旧的二进制文件。但是,众所周知,这些旧的二进制文件存在许多安全漏洞,其中一些非常严重。我希望与运行这些古老且不安全的glibc安装的人保持兼容,而不会让我更负责任的用户面临风险。
链接到古代glibc版本是否会在安装最新的系统上引入漏洞?
链接到古代glibc版本是否会在安装最新的系统上引入漏洞?
如果您动态链接,则不会。
任何影响GLIBC的修复都驻留在libc.so.6(及相关库)中。这些库通常来自系统,因此在最新的系统中,它们是最新的(按照定义),您的程序将自动使用它们,因此它们本身是最新的。
实际上,这是动态链接的主要原因之一:更新的libc.so.6立即修复了系统上的所有(动态链接)程序。使用静态链接时,必须重新链接每个程序才能使修复生效。