]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blob - doc/bugs/Checksum_errors_on_the_pristine-tar_branch.mdwn
Tell `git revert` not to follow renames (CVE-2016-10026)
[git.ikiwiki.info.git] / doc / bugs / Checksum_errors_on_the_pristine-tar_branch.mdwn
1 I'm in the process of installing ikiwiki on my home page (hooray), and wants to have the newest stable version available. I suppose that's the one on the `pristine-tar` branch.
3 > You can check out the latest released version with:
4 >
5 >     git tag                    # outputs a list of tags
6 >     git checkout 3.20110124    # or use the latest one, if different
7 >
8 > If you're using git already, there's no need to use pristine-tar,
9 > unless you particularly want a tarball for some reason.
10 >
11 > Downloading the tarball from Debian is the other recommended way to
12 > [[download]] the source code. --[[smcv]]
14 >> Thanks for your responses, smcv. I'll use that method and install the newest version when I'm more familiar with the way ikiwiki works. For now I'm using version 3.20100122 installed with apt-get. Works great so far, but I'm looking forward to the new install. -- [[sunny256]] 2011-02-22 19:30+0100
16 But I'm unable to recreate the newest `.tar` file, in fact there's errors in all these `.tar.gz` files on that branch:
18 * `ikiwiki_2.20.tar.gz`
19 * `ikiwiki_2.30.tar.gz`
20 * `ikiwiki_2.31.1.tar.gz`
21 * `ikiwiki_2.46.tar.gz`
22 * `ikiwiki_2.47.tar.gz`
23 * `ikiwiki_2.48.tar.gz`
24 * `ikiwiki_2.49.tar.gz`
25 * `ikiwiki_2.50.tar.gz`
26 * `ikiwiki_2.51.tar.gz`
27 * `ikiwiki_2.62.1.tar.gz`
28 * `ikiwiki_2.62.tar.gz`
29 * `ikiwiki_3.20101129.tar.gz`
30 * `ikiwiki_3.20101201.tar.gz`
31 * `ikiwiki_3.20101231.tar.gz`
32 * `ikiwiki_3.20110105.tar.gz`
33 * `ikiwiki_3.20110122.tar.gz`
34 * `ikiwiki_3.20110123.tar.gz`
35 * `ikiwiki_3.20110124.tar.gz`
37 The operation fails on these files with a "Checksum validation failed" error from `xdelta`(1). The `pristine-tar`(1) version is 1.00, installed with `apt-get` on Ubuntu 10.04.2 LTS. Is this version too old, or are there some errors on this branch?
39 > I get similar errors on Debian unstable, but not on all of the same versions;
40 > for instance, my `ikiwiki_3.20110124.tar.gz` is OK. In some cases, xdelta
41 > complains, but the tarball is produced successfully. However, I do see actual
42 > failures for 2.62 and 2.62.1, for instance. --[[smcv]]
44 > Yes, on Debian unstable I got failures on only old ones, but not in
45 > contiguous blocks: --[[Joey]] 
46
47 >     ikiwiki_2.20.tar.gz
48 >     ikiwiki_2.30.tar.gz
49 >     ikiwiki_2.31.1.tar.gz
50 >     ikiwiki_2.46.tar.gz
51 >     ikiwiki_2.47.tar.gz
52 >     ikiwiki_2.48.tar.gz
53 >     ikiwiki_2.49.tar.gz
54 >     ikiwiki_2.50.tar.gz
55 >     ikiwiki_2.51.tar.gz
56 >     ikiwiki_2.62.1.tar.gz
57 >     ikiwiki_2.62.tar.gz
58 >
59 > Probably what would help debug this problem is if someone can
60 > reproduce with one or more of the other ones that do **not** fail
61 > for me, pass `-dk` to pristine-tar, and send me a copy of its temp directory
62 > (joey@kitenet.net), and the versions of pristine-tar, tar, gzip.
63 > Then I can compare the good and bad recreated
64 > tarballs and identify the difference. Or pass them to the tar developers,
65 > who have helped before.
66
67 > The only cause that I can think of is that perhaps tar's output
68 > has changed compared with the version used to create those. The
69 > only tar output change I know of involved filenames that were
70 > exactly 100 bytes long -- and pristine-tar 1.11 works around that
71 > when run with tar 1.25-2 on Debian. FWIW, I am only seeing
72 > this in ikiwiki's pristine-tar info, not other packages'. 
73 > (Checked all of debhelper's and alien's and etckeeper's 
74 > and pristine-tar's tarballs.) --[[Joey]]
75 >
76 >> It looks as though I only get the same failures as you, so that's no help
77 >> (reassuring, though, since we're presumably both running recent Debian).
78 >> sunny256's failure cases might just result from the older tar and pristine-tar
79 >> on Ubuntu 10.04? --[[smcv]]
81 >>> Yes, I can reproduce the same failures sunny256 saw using Debian oldstable. Once I
82 >>> upgrade pristine-tar and tar, it goes away, so I think it is the 100
83 >>> byte filename bug affecting those.
84 >>>
85 >>> As to the ones we all see fail, I dunno what it is, but probably
86 >>> has to do with some kind of historical issue in the versions of
87 >>> pristine-tar/tar used to create them. We may never know what went wrong
88 >>> there. --[[Joey]] [[done]]
90 A complete output of the "pristine-tar checkout" of all files is stored on <https://gist.github.com/836720> .
92 For now, I'll download the `.tar.gz` from <http://packages.debian.org/unstable/source/ikiwiki>, or maybe install `ikiwiki_3.20110124_all.deb`. Would you recommend using that `.deb` file on Ubuntu 10.04.2 LTS, or is it Debian-specific? -- [[sunny256]] 2011-02-21 08:42+0100
94 > The .deb from Debian unstable is likely to work on Ubuntu; I've
95 > generally been able to compile snapshots on Debian unstable and
96 > install them onto Debian lenny (older than that Ubuntu release)
97 > without modification. If in doubt, build it from source. --[[smcv]]
99 > > The .deb file `ikiwiki_3.20110124_all.deb` from Debian unstable seems to 
100 > > work great. I'm now the happy user of the newest stable version, yay. There 
101 > > were some errors or warnings, though. This is the first one:
103 > > > `You are overwriting a locally defined method (finished) with an accessor 
104 > > > at /usr/lib/perl5/Moose/Meta/Attribute.pm line 570`
106 > > Along with loads of other suspicious stuff. Have posted the whole output at 
107 > > <https://gist.github.com/842789>. I'll dig around a bit in the source to 
108 > > see if there's something I need to worry about. It looks good so far.
109 > > --&nbsp;[[sunny256]]&nbsp;<small>2011-02-24&nbsp;20:27Z</small>
111 > > > Looks like a bug in [[!cpan Net::Amazon::S3::Client::Bucket]] or in something
112 > > > it uses, rather than in ikiwiki itself. --[[smcv]]