[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:38651] woodyのapacheパッケージ (Re: パッケージではないアプリケーション )



 やまね です。

 #Debianのapacheに特化したずれた話。

》  woody の apache 等のバージョンは確かに少し古いですが、新しいも
》のを使いたいという理由はなんでしょうか。セキュリティ的に心配とい
》うことでしたら、それは問題ありません。http://security.debian.org/
》がきちんと apt-line に入っていれば、「セキュリティのパッチのあたっ
》た少し古いバージョン」がインストールされることになります。

 しかし、1.3.29や2.0.48で修正されたセキュリティ問題について、
 apacheパッケージではバックポートの予定はないようです。;(
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0542

 理由を端折って言えば「この脆弱性が悪用されるとしたら、もっと
 色々な事ができる状態だから、これを直すよりエンバグなどの可能
 性のほうが大きい」というような事らしく。

 #http://lists.debian.org/debian-security/2003/debian-security-200310/msg00203.html
  あたりからのスレッドでその話してます。


 確かに危険性は少ないんですが、そこまで理解しておかないと判断
 できない事を放置するのは利用者に負担が大きいのではないかなぁ、
 と思うのですが、説得するいいアイデアが浮かばず…

-- 
Regards,

 Hideki Yamane    mailto:henrich @ iijmio-mail.jp