最近、以下のような質問をよく受けますので、 それに答えるページを用意しました。
Q: セキュリティ警告につけられた署名が正しく検証できません。
A: おそらく、あなたの側の問題です。 debian-security-announce メーリングリストにはフィルタがあって、 セキュリティチームのメンバーの正式な署名のあるメッセージしか 投稿できないようになっています。
おそらく、お使いのメールソフトがメッセージをわずかに変更し、 署名が壊れてしまったものと考えられます。 ソフトウェアが MIME エンコーディングやデコーディング、 タブとスペースの変換などを行っていないかどうか、 ご確認ください。
このような問題の起こるソフトとしては、 fetchmail (mimedecode オプションをつけている場合) や formail (procmail 3.14 以降のみ) などが知られています。
Q: Debian ではセキュリティはどのように扱われているのでしょう?
A: セキュリティチームが何らかの問題に関する連絡を受けると、 一人あるいは複数のメンバーがその問題を調査し、 Debian の安定版に対するインパクト (脆弱性をもたらすかどうか) を考えます。 もし Debian が脆弱になる場合は、その問題に対する修正を行うべく作業します。 パッケージメンテナからの連絡がまだセキュリティチームになければ、 そのメンテナにも連絡します。 最後に修正がテストされ、新しいパッケージが準備され、 それらを安定版に含まれる全てのアーキテクチャについてコンパイルし、 アップロードします。これらのすべてが終了したら、 セキュリティ勧告を公開します。
Q: 修正版のパッケージが security.debian.org に出るかどうかの判断基準はなんですか?
A: 安定版ディストリビューションのパッケージに セキュリティの破れがあれば、そのパッケージは security.debian.org に登場することになります。 他の理由で置かれることはありません。 ここで「セキュリティの破れ」の程度が大きな問題になります。 通常セキュリティチームはパッケージのメンテナといっしょに 新しいパッケージを準備します。 ただし (信頼できる) 誰かが問題を追跡し、 必要なパッケージをすべてコンパイルして セキュリティチームに送ってくれたのであれば、 些細なセキュリティ修正であってもそれは security.debian.org に置かれることになります。
Q: パッケージのバージョン番号からすると、 私は今もなお危険なバージョンを使っているはずです!
A: 新しいリリースにアップグレードする代わりに、私たちは、 セキュリティ上の修正を、安定版に含まれるバージョンに適用 (バックポート) します。これは、変化をできるだけ小さくして、 セキュリティ上の修正が予期しない変化や不具合を招くのを防ぐのが 目的です。パッケージの更新履歴 (changelog) を調べたり、 正確なバージョン番号を Debian セキュリティ警告 (Security Advisery) に示されたバージョン番号と比較すれば、 安全なバージョンを使っているかどうかを確認できます。
Q: 試験版と開発版のセキュリティは どうなっているのでしょうか。
A: 端的に言うと、これらにはセキュリティ上のサポートはありません。 試験版と開発版は頻繁に変化するものなので、 セキュリティチームは適切なサポートをするのに必要なリソースを持っていません。 安全な (そして安定した) サーバを構築したい場合には、 安定版を使い続けるよう強くおすすめします。
Q: なぜ security.debian.org の公式ミラーは ひとつも存在しないのですか?
A: security.debian.org は、できるだけ早くかつ容易に セキュリティアップデートを提供するのが目的です。 ミラーがあると不必要な複雑さが導入されてしまいますし、 ミラーが最新でないと問題が起きる可能性もあります。
Q: DSA 100 と DSA 102 があるのを見付けましたが、 DSA 101 が見当たりません。どこにありますか?
A: いくつかの案件については、数団体のベンダ (ほとんどが GNU/Linux のベンダですが、BSD のベンダも含まれています) がセキュリティ警告を整合させ、これらのベンダが同時に セキュリティ警告を出せるようにしています。これによって、 より長い時間を必要とするベンダ (例えば、長い品質管理プロセスを パッケージがパスしないといけない場合や、複数の アーキテクチャやバイナリをサポートしていたりする場合) が不利にならないようにしています。 私たちのセキュリティチームもまた、前もってセキュリティ警告を 準備しておきます。時々、準備して置いてあるセキュリティ警告が 発表できるようになる前に、他のセキュリティ警告を出さないと いけなくなることがあります。このとき、セキュリティ警告の 番号をひとつ (または複数) とばして発表します。
Q: セキュリティチームと連絡をとるには?
A: セキュリティ情報は security@debian.org に送ることができます。 これは Debian の開発者が全員読んでいます。 機密を要する情報がある場合には team@security.debian.org をご利用ください。 こちらはセキュリティチームだけが読んでいます。 必要ならば、Debian Security Contact key (key ID 363CCD95) でメールを暗号化することもできます。
Q: セキュリティ勧告の一つに記載されたパッケージをダウンロードしようとしているのですが、`file not found' エラーになります。
A: 新しいバグ修正が security.debian.org の古いパッケージを上書き更新することになる場合、新パッケージがインストールされた時点で古いものは速やかに削除される可能性が高いためです。 このため、この場合には `file not found' エラーになります。 私たちは分かっているセキュリティバグのあるパッケージを、 本当に必要な期間以上には配布したくはありませんので。
最新のセキュリティ勧告記載のパッケージを用いてください。
最新の勧告は、\
debian-security-announce で公表されます。そして
パッケージのアップグレードの前に単に apt-get update
とするのが最良のやり方です。
Q: セキュリティに関するお手伝いがしたいのですが。
A: 問題を security@debian.org に報告する前に、まず調査をしてください。 パッチを提供していただければ、処理が迅速になります。 bugtraq のメールを単に転送することは避けてください。 我々も同じメールを受信していますから。 単に転送するのではなく、bugtraq で報告された事項に対する 追加情報の場合は、是非報告下さい。
Q: proposed-updates の対象はなんでしょう?
A: このディレクトリには、 Debian 安定版の次のリビジョンに入るであろうパッケージが含まれています。 メンテナから安定版向けのパッケージがアップロードされると、 それらは proposed-updates ディレクトリに置かれます。 安定版は安定であることを意図されていますから、 自動的な更新は行われません。 セキュリティチームは安定版への勧告を行った際、 その修正パッケージをアップロードしますが、 それらはまず proposed-updates に置かれます。 二ヶ月おきに安定版のリリース管理者は proposed-updates にあるパッケージを一通り調べ、 それらが安定版にふさわしいかどうかを議論します。 そしてこれらは安定版の新しいリリース (例えば 2.2r3 とか 2.2r4 とか) に組み込まれます。
Q: セキュリティチームの構成は?
A: Debian セキュリティチームは、現在 5 人の役員と 2 人の書記から構成されています。 チームへの参加者は、チーム自身が任命します。