匿名 | ログイン | 新しいユーザーの作成 | 2024-12-05 11:39 JST |
メイン | マイビュー | 検索 | 変更履歴 | ロードマップ | Vine Linux ホーム |
課題の詳細を表示 [ コメントにジャンプ ] | [ 課題の履歴 ] [ 印刷 ] | ||||||||
ID | プロジェクト | カテゴリ | 登録日 | 最終更新 | |||||
0000438 | Vine Linux | 1 バグ | 2006-12-14 17:31 | 2007-01-01 23:55 | |||||
報告者 | anonymous | ||||||||
担当者 | security | ||||||||
優先度 | 中 | 再現性 | 不明 | ||||||
状態 | 完了 | 解決状況 | 不明 | ||||||
バージョン | |||||||||
修正予定バージョン | 修正済バージョン | ||||||||
概要 | 0000438: proftpd Multiple Vulnerabilities(CVE-2006-6170, CVE-2006-6171) | ||||||||
説明 | CVE-2006-5815 関連とは別のセキュリティバグが見つかったようです。 (Buffer overflow in the tls_x509_name_oneline function in the mod_tls module ) References(CVE-2006-6170): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6170 [^] http://www.vinelinux.org/errata/3x/20061126-5.html [^] CVE-2006-5815 が CVE-2006-6171に割り当てなおされたようです。 パッチなどの有効性について議論中のようです。 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6171 [^] 現在、コードは、proftpd-1.2.10-CVE-2006-5815.patch のパッチ と同じ状態に戻っているようです。 #proftpd-1.3.1rc1のコードで。 CVS patch(CVE-2006-6171での当初パッチ): http://proftp.cvs.sourceforge.net/proftp/proftpd/src/main.c?r1=1.292&r2=1.293&sortby=date [^] | ||||||||
タグ | 設定されていません。 | ||||||||
arch | |||||||||
パッケージ | proftpd-1.2.10 | ||||||||
添付ファイル | |||||||||
コメント | |
(0002270) iwamoto (管理者) 2006-12-14 17:38 |
security watch team にて 対策パッケージのテスト中です。 もう少々お待ちください。 |
(0002271) kazutaka (開発者) 2006-12-14 21:05 |
> security watch team にて > 対策パッケージのテスト中です。 状態を割当済みに変更します。 # ちょっとしつこいかもしれませんが、もう一度だけです。 以前 <BTS:VineLinux:394> でも書きましたが、 Security Watch Team への参加をもう一度考えて いただけないでしょうか。 「責任が重くなるのはちょっと…」というお話でしたら、 できる範囲で協力していただければ十分ですし、 最初から報告のみだと宣言していただいても問題ないと 思います。 また「(この)BTSでも、バグ(Security)報告は出来る」のは 確かにその通りなのですが、Security Watch 用にも別の BTS が用意されていて、通常はこちらで対策等が管理されて います。 で、こちらの BTS に報告された場合、両方の BTS にリプライ を付けたり、レポートを転記したりといった2重管理の手間が 余計にかかってしまい、あまり効率的とは言えない状態に なってしまっています。 最初から Security Watch 用の BTS にレポートしてもら えれば、これらの手間が省けて Security Watch 担当の 方達も助かりますし、すでに Security Watch Team が 認識している問題であれば、こちらの BTS に投稿する 手間も省けるようになります。 元投稿者の方の手間や責任が増えるようなことは ありませんし、Security Issue の対応が効率的に 行えるようになりますので、是非再検討をお願いします。 ハラダ |
(0002272) anonymous (参照) 2006-12-14 22:02 |
> > security watch team にて > > 対策パッケージのテスト中です。 > > 状態を割当済みに変更します。 > > > # ちょっとしつこいかもしれませんが、もう一度だけです。 > > 以前 <BTS:VineLinux:394> でも書きましたが、 > Security Watch Team への参加をもう一度考えて > いただけないでしょうか。 元投稿者です。 再度、おさそいを受けたからではないのですが... このレポートがらみで、私の方でも(自主的に)少し再考モード に突入しました。(一時的になんですけど。) 理由は、今回の件で exploitのコード(ツール)の情報を持って いたのですが、さすがに投稿は出来ませんでした。 #公開することによって、万が一、0-day攻撃を助長するのではないか #と思ったからです。 ただ、私の投稿情報は、既にどこかでopenになっている情報です。 #したがって、私の方では、最初から、2重管理状態みたいになることは #少しは予測していました。(管理者泣かせですみません。) #弱そうな部分を推測しながら、1日1件を目標に投稿してきました。(最近は。) Vineの1ユーザとして知りたいことの1つとしてセキュリティバグの対応の目安です。 平均値みたいなもの(すごく感覚的になりますけど。) #この問題だったら、Securityチームがリリースするパッケージを待とう。 #これは、ちょっとクリティカルだから(急ぐから)、独自の仮対応版を作ろうか。 #そういうことを判断する材料(情報)です。 #それは、問題解決後でも良いと思っています。 #(そういうものがあれば、次回、同様な場合にある程度のことは予測可能です。) そこらあたりの情報は、ほかのディストロだともっとあるような気がします。 #少なくとも、正確に何時updateが出るということがわからなくとも #問題点に気ついている。(対応中)みたいな情報は欲しいと思います。 #(Security Watch Teamのメンバーになっていなくとも。) |
(0002273) kazutaka (開発者) 2006-12-14 22:38 |
> Vineの1ユーザとして知りたいことの1つとしてセキュリティバグの対応の目安 > です。 > 平均値みたいなもの(すごく感覚的になりますけど。) > #この問題だったら、Securityチームがリリースするパッケージを待とう。 > #これは、ちょっとクリティカルだから(急ぐから)、独自の仮対応版を作ろう > か。 > #そういうことを判断する材料(情報)です。 > #それは、問題解決後でも良いと思っています。 > #(そういうものがあれば、次回、同様な場合にある程度のことは予測可能です。 > ) > > そこらあたりの情報は、ほかのディストロだともっとあるような気がします。 > #少なくとも、正確に何時updateが出るということがわからなくとも > #問題点に気ついている。(対応中)みたいな情報は欲しいと思います。 > #(Security Watch Teamのメンバーになっていなくとも。) そうすると一番気にされているのは、Vine Linux の Security 対応について、そのポリシーや判断基準、あるいはその運用方法 が明確になってない(というかどこにも明記されていない)という 点のようですね。 Security Watch Team 外の人でもこれらの情報が入手できる 必要があるという意見は理解できますが、逆にそれらの情報を 知りたいという声がほとんど聞こえてこないからこそ、 これらの情報がオープンになっていないとも言えます。 リプライを読むと Security に関する知識もかなりお持ちの ようですし、Security 対応に関する運用も含めて Security Watch Team の ML 上で議論していただければ、と個人的には思います。 が、決して無理強いするつもりはありませんし、運用方法に ついての議論も他の ML でもできますので、これ以上の勧誘(?)は 自粛したいと思います。 #そもそも BTS でやり取りすべき内容では無いですし。 長々と失礼しました。 ハラダ |
(0002274) ikeda (開発者) 2007-01-01 23:55 |
状態を完了に変更します。 |
課題の履歴 | |||
変更日 | ユーザー名 | 項目 | 変更内容 |
2006-12-14 17:31 | anonymous | 新規課題 | |
2006-12-14 17:38 | iwamoto | コメント追加: 0002270 | |
2006-12-14 21:05 | kazutaka | 担当者 | => security |
2006-12-14 21:05 | kazutaka | 状態 | 新規 => 担当者決定 |
2006-12-14 21:05 | kazutaka | コメント追加: 0002271 | |
2006-12-14 22:02 | anonymous | コメント追加: 0002272 | |
2006-12-14 22:38 | kazutaka | コメント追加: 0002273 | |
2007-01-01 23:55 | ikeda | 状態 | 担当者決定 => 完了 |
2007-01-01 23:55 | ikeda | コメント追加: 0002274 |
Copyright © 2000 - 2024 MantisBT Team Copyright © 2012 - 2024 Project Vine |