[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:52802] 「DSA_1862-1」について



mejikoです。いつもお世話になります。

先ほど、「[debian-users:52801] [Translate] [SECURITY] [DSA 1862-1] New Linux 2.6.26 packages fix privilege escalation」
の記事に対して添付ファイルを送付して返信したのですが、数分たっても、Debian-JPのメーリングリストアーカイブに反映されていませんでした。(いつもならすぐに反映する)
改めて新規投稿します。本当に申し訳ありません。

http://lists.debian.or.jp/debian-users/200908/msg00052.html

この上の記事です。


もしかしたら、二重に投稿されているかもしれません。



(ここから本文です)


昨日か一昨日くらいにDebianから発表されたセキュリティー勧告(DSA-1862-1)についてなのですけれども、lenny-proposed-update(カーネル・・・2.6.26-18)環境では、このアップデートは全く適用されませんでした。


「2.6.26-18」のバージョンのカーネルがこの脆弱性に影響を受けるのか、少し
心配です。

そこで、別パソコン(Debian 5.0.2 stable/lenny)という、メイン
パソコンと全くの同じ環境で、ソースをダウンロードし、少し自分なりに調査を
してみました。


調査1

「2.6.26-17lenny2」と「2.6.26-18」のソースの差分(*.diff)ファイルと、オ
リジナルのソースファイル(*orig.gz)をダウンロード、展開し、Debianのバグ
報告「#541403」内にかかれてある「kernel.org」のURL内にあるパッチファイル
の差分を見つつ、Geditで二つのdiffファイルを表示、そのパッチファイルの変
更箇所を検索し、どちらのdiffファイルにその「パッチが当てられた」項目がな
いか確認。


http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=541403

http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=e694958388c50148389b0e9b9e9e8945cf0f1b98;hp=a3620f7545344f932873bf98fbdf416b49409c8e

調査2

「Proposed-update」の「linux-patch-debian-2.6.26」パッケージをインストー
ルし、該当パッチが「2.6.26-18」にあるか確認。

調査3

チェンジログを確認し、当脆弱性がフィックスされているか確認。



結果

調査1・・・diffファイルを検索する限り「2.6.26-17lenny2」にはそのパッチ
ファイルに書かれていた変更箇所は見つかりましたが、「2.6.26-18」にはその
変更箇所は見当たらなかったです。

なお、両者のdiffファイルをdiffしたファイルが手元にあるのですが、添付して送付した方がよろしいのでしょうか。
先ほど返信した時に添付したのですが、なぜかアーカイブに反映されませんでした。もしかして反映まで時間がかかるのでしょうか。
それとも、拡張子でフィルタをかけているのでしょうか。(拡張子はtar.gzです)


調査2・・・インストールして調べて見ましたが「2.6.26-18」カーネルのパッ
チに、該当するパッチは含まれていませんでした。


調査3・・・特にこの脆弱性がフィックスされた、というチェンジログの情報は
なかったです。

http://ftp.debian.org/debian/dists/lenny-proposed-updates/linux-2.6_2.6.26-18_i386.changes

なお「2.6.26-17lenny2」のチェンジログは「404 Not Found」でした。また、
debianのカーネルチームのメーリングリストも調べてみました。なぜかリジェク
トされていたようです。

http://lists.debian.org/debian-kernel/2009/08/msg00372.html


以上です。よろしくお願いします。