[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:52806] Re: 「DSA_1862-1」について

From: canon <kame55-itasenpara123@xxxxxxxxxxxxx>
Subject: [debian-users:52806] Re: 「DSA_1862-1」について
Date: Sun, 16 Aug 2009 23:10:15 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=0.5 required=10.0 tests=KI,SUBJECT_ENCODED_TWICE, UNIQUE_WORDS autolearn=disabled version=3.1.7-deb3
References: <4A86D7DC.3020605@xxxxxxxxxxxx> <1250385637.10913.19.camel@xxxxxxxxxxxxxxxxxxxx> <4A87EDFB.9020207@xxxxxxxxxxxx>
Message-id: <1250431815.6975.97.camel@xxxxxxxxxxxxxxxxxxxx>
X-mail-count: 52806
X-mailer: Evolution 2.22.3.1

mejikoです。とても厳しいご指摘ありがとうございます。

> かねこです。UTF-8 は理由無ければ止めて欲しい。他にも全体的にメーラの
> 設定が不適切なので見直してください。

UTF-8というのは、メールの文字エンコードのことでよろしいでしょうか。

今後はデフォルトのエンコード、文字のエンコードをEUC-JPにして修正してメー
ルを送ります。あと、最初のメールなのですが、投稿失敗したものをそのまま利
用してしまったので、送信してアーカイブを見たときに「しまった!」と正直自
分でも思いました。

ご不快な思いをさせまして、本当に申し訳ありません。今後気をつけます。

もし、まだ設定が不適切なところがありましたら、ご指摘をよろしくお願いしま
す。なお、メーラーは「evolution」です。

なお、このメールのエンコードは「EUC-JP」にして送信しました。もし
「UTF-8」のままになっていたらすいません。



> proposed-update は読んで字の如く proposed なので、セキュリティ対処の
> 範囲外です。debian のカーネルチームの担当ではあるので対処はされる公
> 算が高いですけど、時期や対処間隔に関しては保証の限りではありません。
> また、性格上急いで反映されるというものでもありません。patch が出て
> いるのは 8/13 ですので、既に反映されている可能性も低いでしょう。


> したがって、そういうの使いたければ自分で何とかする、です。

その後自分でも色々試行錯誤しました。

結果、以下の三つで対処しようと考え尽きました。その３つのどちらかにしよう
と考えています。もしよければ、どちらがよいか、参考意見があればいただけな
いでしょうか。

自分は「１」または「3」のやり方で対処したいと考えています。


１・・・バグ報告。修正版が入るまで、クラッカーに侵入されないよう、最大限
の防御で切り抜ける。


２・・・面倒なことになる前に、バグ報告しないまま再インストールして「non
proposed-update」環境に再構築。


３・・・バグ報告後、即刻再インストール。「non proposed-update」環境に再
構築。


４・・・「Proposed-update」をオフにし、無理やり元に戻す。



ここまでの結論

「Proposed-update」はセキュリティーアップデートの対象ではない、トラブル
が起きたときは自分で何とかするといっても「proposed-update」にもいい面が
あり、stable-securityではフィックスされていないような脆弱性がフィックス
されているパッケージがインストールできたり、バグフィックスなパッケージが
インストールされたりします。


しかし過去（LiveMagicの依存関係エラー）と今のメーリングリストの投稿から
得た経験、そしてなにより「リリースノートの記述」（注意事項に近い）からす
ると、Proposed-updateは「stable版のtesting/unstableパッケージ」という意
味合いがが強いなと分かりました。


mejikoのような素人が下手に手を出すべきセクションではない、そういう方は正
式な「ポイントリリース」まで待つ、という風に思えました。





最後にこれらのことをまとめての一種の提案なのですが「software sources」の
「Proposed-update」を選択するときに警告を促し、ユーザーに確認させたりす
るというのはどうでしょうか？　

例えば、このセクションを選択したとき、ダイアログが「OK」「キャンセル」
で、

「このセクションは次のポイントリリースでアップデートされるパッケージがあ
りますが、中にはまだテスト段階で十分にテストが行われていないものもあるか
もしれません。詳しくはリリ−スノートを参照してください」

という名の警告をだすと言う感じな感じです。Ubuntuでは、確かセクション毎
に、どんなアップデートセクションなのかということが一文で書いてあったよう
な気がします。

もし何かの参考になれば幸いです。

Follow-Ups:
- [debian-users:52807] Re: 「DSA_1862-1」について
  - From: Hideki Yamane
- [debian-users:52808] Re: 「DSA_1862-1」について
  - From: 野宮　賢 / NOMIYA Masaru

References:
- [debian-users:52801] [Translate] [SECURITY] [DSA 1862-1] New Linux 2.6.26 packages fix privilege escalation
  - From: Seiji Kaneko
- [debian-users:52802] 「DSA_1862-1」について
  - From: canon
- [debian-users:52805] Re: 「DSA_1862-1」について
  - From: Seiji Kaneko

Prev by Date: [debian-users:52805] Re: 「DSA_1862-1」について
Next by Date: [debian-users:52807] Re: 「DSA_1862-1」について
Previous by thread: [debian-users:52805] Re: 「DSA_1862-1」について
Next by thread: [debian-users:52807] Re: 「DSA_1862-1」について
Index(es):
- Date
- Thread