[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-devel:18999] Re: 【セミナ確定】東京エリアDebian勉強会(2015年6月勉強会 )

From: Takahide Nojima <nozzy123nozzy@xxxxxxxxx>
Subject: [debian-devel:18999] Re: 【セミナ確定】東京エリアDebian勉強会(2015年6月勉強会 )
Date: Mon, 29 Jun 2015 22:15:35 +0900
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=message-id:subject:from:to:date:in-reply-to:references:content-type :mime-version:content-transfer-encoding; bh=m3QeblLTHb9u+mH3BjiSwBQieIcpZzW1UvCQ7OO76uU=; b=KsSpmaNE3iQ6JnRTc3kPB98sGRnbYGKC5GgWmdraeb+bXGZYad+gtAL5o5xlLnBLLk AB1pW3kGsIBSqrLsVIxLXYQ6DMpaI3djC+ZQBIgd1dT28yusZ+3OXRuH7rnvTbwz1yR3 /J4ro81saVlSGyH1ujX7NPc6HED9a1kMwiPPOPVI3cMcvigAf/D+7qgljShhsK4MFCK0 yA6qdr1y/0T5oR0pDdgjz2I6r9kGNwsrfHGbdKtUC8ImOwEnrS2X440bwEx2QFkDych0 wTTvxdxhMPk73cA4ZQZ59otk3W4tVQycqWuYIKsM0Bww1F7xZBttjWZmMjD7J5txSXb1 4trQ==
List-help: <mailto:debian-devel-ctl@debian.or.jp?body=help>
List-id: debian-devel.debian.or.jp
List-owner: <mailto:debian-devel-admin@debian.or.jp>
List-post: <mailto:debian-devel@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-devel-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-devel-ctl@debian.or.jp; help=<mailto:debian-devel-ctl@debian.or.jp?body=help>
X-ml-name: debian-devel
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-devel-dist@debian.or.jp
X-received: by 10.66.255.67 with SMTP id ao3mr31855401pad.60.1435583734718; Mon, 29 Jun 2015 06:15:34 -0700 (PDT)
X-spam-checker-version: SpamAssassin 3.2.5 (2008-06-10) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-1.4 required=10.0 tests=DNS_FROM_AHBL_RHSBL,KI, RCVD_IN_DNSWL_LOW autolearn=disabled version=3.2.5
References: <1432564719.2293.11.camel@xxxxxxxxx> <1434616774.3379.5.camel@xxxxxxxxx> <20150621120320.04745fd2a7a79b2639d04bd9@debian.or.jp> <1435109048.2326.24.camel@xxxxxxxxx> <20150627182105.da6e3e312ce059cd84eb8ab8@debian.or.jp>
Message-id: <1435583731.2363.29.camel@xxxxxxxxx>
X-mail-count: 18999
X-mailer: Evolution 3.16.3-1

やまねさん

野島です。回答ありがとうございます。

2015-06-27 (土) の 18:21 +0900 に Hideki Yamane さんは書きました:
> On Wed, 24 Jun 2015 10:24:17 +0900
> Takahide Nojima <nozzy123nozzy@xxxxxxxxx> wrote:
> > なんですが、ひょっとして、contribは本体DFSG準拠だけど
> > non-freeに依存関係があるもののアーカイブなので、
> > ライセンス上直せない/ソースがないから直せないというわけではないのだが、
> > ポリシー上基本サポート無しとかに野島の資料を修正せよということでしょうかね？
> 
> DSAを出す（セキュリティサポート対象な）のは main だけです。

了解です。表記をいただいた内容にあわせます。

なので、「contribとnon-freeに属する脆弱性対応は基本無し」という
野島の資料上の文言を「基本、脆弱性対応はmainアーカイブエリアのみ」
に変更します。

で、ちょっと相談なのですが、faq
（https://www.debian.org/security/faq#contrib）
には、contrib/non-freeについて

「もし問題が修正可能で、 そのパッケージのメンテナや他の誰かが正しく更新したパッケージを用意すれば、
セキュリティチームはたいていそれらを処理し、勧告をリリースします。（原文：If it is possible to fix the
problem, and the package maintainer or someone else provides correct
updated packages, then the security team will generally process them
and release an advisory.）」

とあり、実際に、non-freeなパッケージでもDSAが
https://www.debian.org/security/2015/dsa-3274
のように出てるので、一応、faqの条件満たすとnon-freeでも本当にDSAが出る
ということでOKっすかね？

なので、野島の資料の記載について、

「contrib と non-free
であっても、ライセンス上、直しても良いものについては、通常の通りセキュリティチームにて対応が図られる。」

ってところを、ちょっと修正して、

「contrib と non-free であっても、問題が修正可能で、
そのパッケージのメンテナや他の誰かが正しく更新したパッケージを用意される場合は、セキュリティチームにて対応が図られることがある。」

に修正ぐらいでOKでしょうか？

> > > 未公開の情報ですからGPGで暗号化したうえで、というのが必要です。
> > 
> > こちら、いわゆるメールの第３者の盗聴防止で、一般的に秘匿情報を扱うセオリーとしてこちらにすることが望ましいということで良いでしょうか？
> > つまり、セキュリティチーム側が明確にアナウンスしているというわけではないが、常識的にそうした方が良いでしょ？という感じ？
> 
> 盗聴防止というのもありますが、「宛先間違い」というのも一応はありますかね。
> 一般流通すべきではない情報ですから、GPGを使うのが望ましいでしょう。
> 逆に使わないほうが望ましいという理由はないはず(*)です。
> 
> *) 読みやすいコードを書きましょう、みたいなところで。
> 

なるほど。了解しました。宛先違い防止は了解です。

そうすると、セキュリティチームとのやり取りについて、以下のようになる
のが望ましいのでしょうかね？

　Step1. security@debian.org またはteam@security.debian.orgに、
　　　　　「〜というパッケージに未公開の脆弱性を見つけた。
　　　　　　GPGで暗号化してレポートしたいので誰のpublic keyを使って
　　　　　　暗号化してレポートすればよいか教えて欲しい」
　　　　　を問いかけ。
　
　Step2. 応答があった人のpublic keyで暗号化してレポートを送る。
　Step3. 受け取った人は、自分の秘密鍵でデコードしてレポートを読む

って感じですかね...?実際どうなんでしょう？　

> > ＞どのようなオプションを指定しているのか？
> > 
> > む？資料記載のとおり、
> > -fstack-protector-strong -Wformat -Werror=format-security -D
> > _FORTIFY_SOURCE=2
> > かと？他について、ちょっと思い当たらないのですが、ひょっとしてHardeningとしてのオプションで、違うオプションがつく場合が実はあ
> > るという
> > 意味ですかね？dpkg-buildflagsみてもちょっと
> > 見当たらず..(-fPICはオプション本来の趣旨として微妙と考えましたので割愛しました）
> 
> 実際に、debian/rulesでは上記のオプションを直接指定しては居ないですよね。
> dpkg-buildflagsが展開されてそうなるわけで、
> - dpkg-buildflags でオプションが定義される
> - そのオプションはこうだ
> 
> という説明展開が抜けています。

了解です。追記しておきます。

> それからdebian/rulesでは
> export DEB_BUILD_MAINT_OPTIONS := hardening=+all
> などとするとrelroやbindnow,pieも付きます。
> 
> ＃ってrelroはデフォルトでenableなんですね。。


あー、すんません。確かに GOT (あるいは.dtors) overwrite attacksとかの
ローダレベルで対応しなきゃならない脆弱性対策について抜けてました。知らなかったのですが
-fPICも微妙とかじゃなく、しっかりALSR対策の件がありましたな。確かに抜けてました。

このあたり追記しときます。

野島

References:
- [debian-devel:18985] 【セミナ確定】東京エリアDebian勉強会(2015年6月勉強会 )
  - From: Takahide Nojima
- [debian-devel:18988] Re: 【セミナ確定】東京エリアDebian勉強会(2015年6月勉強会 )
  - From: Hideki Yamane
- [debian-devel:18989] Re: 【セミナ確定】東京エリアDebian勉強会(2015年6月勉強会 )
  - From: Takahide Nojima
- [debian-devel:18992] Re: 【セミナ確定】東京エリアDebian勉強会(2015年6月勉強会 )
  - From: Hideki Yamane

Prev by Date: [debian-devel:18998] Re: 論点・焦点を絞って下さい (was: packaging freewnn)
Previous by thread: [debian-devel:18992] Re: 【セミナ確定】東京エリアDebian勉強会(2015年6月勉強会 )
Next by thread: [debian-devel:18986] gbp buildpackageがこける→dpkg-devの変更→pdebuild変更で回避
Index(es):
- Date
- Thread