[Subject Prev][Subject Next][Thread Prev][Thread Next][Subject Index][Thread Index]

[vine-users:040644] 安定版のsecurity fixパッケージ(Re: [vine-users:040643] Re:errata of openssh)


岩井%パッケージ作った人間 です。

On Wed, 20 Mar 2002 11:47:34 +0900
Subject: [vine-users:040643] Re: errata of openssh
Message-Id: <003a01c1cfb9$969f3480$0a00a8c0@yamapat.gr.jp>
"n.IIDA" <zad61103@rose.zero.ad.jp> wrote:

> しかし、相互依存性の問題はこのようにまとめて一度に指定すれ
> ばクリアされるなんてことは、man rpmとしても教えてくれないです
> ね。RedHatのマニュアル本にもなかったです。

マニュアルというよりかは FAQ とか
そういう類いのものだと思いますし。:)


> >> とあるのですが、上記の一連の修正パッケージopenssh-2.9.9は、OpenSSH 3.1
> >> の修正内容を含むということなのでしょうか?
> >
> >含みます。
> >というか、そのためのパッケージだったり。:)
> 
> ということだそうですが、こういうのは混乱の元にならないでしょうか?

http://vinelinux.org/errata/2x/20020312.html あたりを
ちゃんと読めば混乱しないので、ここは混乱する方が悪いってことでひとつ。


> 私など、セキュリティに関する警告アナウンスは、バージョン番号のみ
> を頼りに、使用中のソフトの安全性を推し量っているのですが、そうい
> うのが通用しなくなってしまいますね。

ですね。
が、そのためのソースなのかも知れません。

 
> 今回のopenSSHに関して言えば、なぜ素直にOpenSSH3.1をパッケージ
> ングしなかったのでしょうか?何か技術的な問題があるのでしょうか?
> それともこれがVineの流儀なのでしょうか?

Vine はできるだけそのようにしよう、という感じみたいです。
ソフトウェアのバージョンがあがれば細部の変更がなされている可能性も
多々あると思います。で、(2.1.5 などの)安定版の動作が security fix 
だけのために変わってしまうのはあまり望ましくないと思います。
ということで、僕は安定版ならばできる限り修正点が少なくするように
すべきだと思います。


> #例えば、**仮に**BINDの8.2.2以前にはセキュリティ上の重大な問題
> #がありますが、Vineの同バージョンのものは安全です(仮定の話です)、
> #と言われても混乱するだけのような気がしますが、どうでしょうか?
> #何も知らずに業務を引継いだ管理者は、仰天して寿命が縮まるかも
> #(^○^)!

「何も知らずに」なら引継げてないと思いますが如何でしょうか?

-- 
いわい

この情報があなたの探していたものかどうか選択してください。
yes/まさにこれだ!   no/違うなぁ   part/一部見つかった   try/これで試してみる

あなたが探していた情報はどのようなことか、ご自由に記入下さい。特に「まさにこれだ!」と言う場合は記入をお願いします。
例:「複数のマシンからCATV経由でipmasqueradeを利用してWebを参照したい場合の設定について」
Follow-Ups: References: