Vine Linux バグトラッキングシステム - Vine Linux
課題の詳細を表示
IDプロジェクトカテゴリ公開登録日最終更新
0000438Vine Linux1 バグ公開2006-12-14 17:312007-01-01 23:55
報告者anonymous 
担当者security 
優先度再現性不明 
状態完了解決状況不明 
バージョン 
修正予定バージョン修正済バージョン 
arch
パッケージproftpd-1.2.10
概要0000438: proftpd Multiple Vulnerabilities(CVE-2006-6170, CVE-2006-6171)
説明CVE-2006-5815 関連とは別のセキュリティバグが見つかったようです。
(Buffer overflow in the tls_x509_name_oneline function in the mod_tls module )
References(CVE-2006-6170):
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6170 [^]


http://www.vinelinux.org/errata/3x/20061126-5.html [^]
CVE-2006-5815 が CVE-2006-6171に割り当てなおされたようです。
パッチなどの有効性について議論中のようです。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6171 [^]

現在、コードは、proftpd-1.2.10-CVE-2006-5815.patch のパッチ
と同じ状態に戻っているようです。
#proftpd-1.3.1rc1のコードで。

CVS patch(CVE-2006-6171での当初パッチ):
http://proftp.cvs.sourceforge.net/proftp/proftpd/src/main.c?r1=1.292&r2=1.293&sortby=date [^]
再現方法
追加情報
タグ設定されていません。
関連
添付ファイル
課題の履歴
変更日ユーザー名項目変更内容
2006-12-14 17:31anonymous新規課題
2006-12-14 17:38iwamotoコメント追加: 0002270
2006-12-14 21:05kazutaka担当者 => security
2006-12-14 21:05kazutaka状態新規 => 担当者決定
2006-12-14 21:05kazutakaコメント追加: 0002271
2006-12-14 22:02anonymousコメント追加: 0002272
2006-12-14 22:38kazutakaコメント追加: 0002273
2007-01-01 23:55ikeda状態担当者決定 => 完了
2007-01-01 23:55ikedaコメント追加: 0002274

コメント
(0002270)
iwamoto   
2006-12-14 17:38   
security watch team にて
対策パッケージのテスト中です。

もう少々お待ちください。
(0002271)
kazutaka   
2006-12-14 21:05   
> security watch team にて
> 対策パッケージのテスト中です。

状態を割当済みに変更します。


# ちょっとしつこいかもしれませんが、もう一度だけです。

以前 <BTS:VineLinux:394> でも書きましたが、
Security Watch Team への参加をもう一度考えて
いただけないでしょうか。

「責任が重くなるのはちょっと…」というお話でしたら、
できる範囲で協力していただければ十分ですし、
最初から報告のみだと宣言していただいても問題ないと
思います。

また「(この)BTSでも、バグ(Security)報告は出来る」のは
確かにその通りなのですが、Security Watch 用にも別の
BTS が用意されていて、通常はこちらで対策等が管理されて
います。

で、こちらの BTS に報告された場合、両方の BTS にリプライ
を付けたり、レポートを転記したりといった2重管理の手間が
余計にかかってしまい、あまり効率的とは言えない状態に
なってしまっています。

最初から Security Watch 用の BTS にレポートしてもら
えれば、これらの手間が省けて Security Watch 担当の
方達も助かりますし、すでに Security Watch Team が
認識している問題であれば、こちらの BTS に投稿する
手間も省けるようになります。

元投稿者の方の手間や責任が増えるようなことは
ありませんし、Security Issue の対応が効率的に
行えるようになりますので、是非再検討をお願いします。

ハラダ
(0002272)
anonymous   
2006-12-14 22:02   
> > security watch team にて
> > 対策パッケージのテスト中です。
>
> 状態を割当済みに変更します。
>
>
> # ちょっとしつこいかもしれませんが、もう一度だけです。
>
> 以前 <BTS:VineLinux:394> でも書きましたが、
> Security Watch Team への参加をもう一度考えて
> いただけないでしょうか。
元投稿者です。
再度、おさそいを受けたからではないのですが...

このレポートがらみで、私の方でも(自主的に)少し再考モード
に突入しました。(一時的になんですけど。)
理由は、今回の件で exploitのコード(ツール)の情報を持って
いたのですが、さすがに投稿は出来ませんでした。
#公開することによって、万が一、0-day攻撃を助長するのではないか
#と思ったからです。

ただ、私の投稿情報は、既にどこかでopenになっている情報です。
#したがって、私の方では、最初から、2重管理状態みたいになることは
#少しは予測していました。(管理者泣かせですみません。)
#弱そうな部分を推測しながら、1日1件を目標に投稿してきました。(最近は。)


Vineの1ユーザとして知りたいことの1つとしてセキュリティバグの対応の目安です。
平均値みたいなもの(すごく感覚的になりますけど。)
#この問題だったら、Securityチームがリリースするパッケージを待とう。
#これは、ちょっとクリティカルだから(急ぐから)、独自の仮対応版を作ろうか。
#そういうことを判断する材料(情報)です。
#それは、問題解決後でも良いと思っています。
#(そういうものがあれば、次回、同様な場合にある程度のことは予測可能です。)

そこらあたりの情報は、ほかのディストロだともっとあるような気がします。
#少なくとも、正確に何時updateが出るということがわからなくとも
#問題点に気ついている。(対応中)みたいな情報は欲しいと思います。
#(Security Watch Teamのメンバーになっていなくとも。)
(0002273)
kazutaka   
2006-12-14 22:38   
> Vineの1ユーザとして知りたいことの1つとしてセキュリティバグの対応の目安
> です。
> 平均値みたいなもの(すごく感覚的になりますけど。)
> #この問題だったら、Securityチームがリリースするパッケージを待とう。
> #これは、ちょっとクリティカルだから(急ぐから)、独自の仮対応版を作ろう
> か。
> #そういうことを判断する材料(情報)です。
> #それは、問題解決後でも良いと思っています。
> #(そういうものがあれば、次回、同様な場合にある程度のことは予測可能です。
> )
>
> そこらあたりの情報は、ほかのディストロだともっとあるような気がします。
> #少なくとも、正確に何時updateが出るということがわからなくとも
> #問題点に気ついている。(対応中)みたいな情報は欲しいと思います。
> #(Security Watch Teamのメンバーになっていなくとも。)


そうすると一番気にされているのは、Vine Linux の Security
対応について、そのポリシーや判断基準、あるいはその運用方法
が明確になってない(というかどこにも明記されていない)という
点のようですね。

Security Watch Team 外の人でもこれらの情報が入手できる
必要があるという意見は理解できますが、逆にそれらの情報を
知りたいという声がほとんど聞こえてこないからこそ、
これらの情報がオープンになっていないとも言えます。

リプライを読むと Security に関する知識もかなりお持ちの
ようですし、Security 対応に関する運用も含めて Security Watch
Team の ML 上で議論していただければ、と個人的には思います。

が、決して無理強いするつもりはありませんし、運用方法に
ついての議論も他の ML でもできますので、これ以上の勧誘(?)は
自粛したいと思います。

#そもそも BTS でやり取りすべき内容では無いですし。

長々と失礼しました。

ハラダ
(0002274)
ikeda   
2007-01-01 23:55   
状態を完了に変更します。