[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:53443] lennyでCVE-2009-2699が改修されているかどうかについて
- From: Komuro Aya <ayakomuro@xxxxxxxxx>
- Subject: [debian-users:53443] lennyでCVE-2009-2699が改修されているかどうかについて
- Date: Tue, 22 Dec 2009 14:59:27 +0900
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:date:message-id:subject :from:to:content-type:content-transfer-encoding; bh=VHcD/9mImWuSi2sFEQDK3cX3HU8Yoq0w/ZCP1JDM5l0=; b=lIf15lxPoO21AXwS+889/FZsBLK8azF3VTIdd6nOFCsOBvDyNJ/T35rsm6SpZJRSx5 L5p+a2u182Mzg4SCQy0IYsTffiQJyLVydINNN87Tix2BW4VCufuGb+XpHlacIdOFIwF+ lOFYRjgZ6yfy4wGoP0sW9/aVEOMIEr0fS3hlA=
- Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:date:message-id:subject:from:to:content-type :content-transfer-encoding; b=U0rZA3yk0AkEF+7XC5xCq1NL7miGewCC5e3g0lOyZ3IW+VH2pzx3QV93vmdVB2bYFM AOjhcyAXJmAyFlfXFzcWRxJB7Ku3K+qisxMPoJPBqgMwdeN4BNwP6QJTy2A5CqN/MWe9 C2Rx/gUlKMKRWpbkZkWeFMFqVg0EcVe3nLFd4=
- List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
- List-id: debian-users.debian.or.jp
- List-owner: <mailto:debian-users-admin@debian.or.jp>
- List-post: <mailto:debian-users@debian.or.jp>
- List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
- List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
- X-ml-name: debian-users
- X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
- X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
- X-spam-level:
- X-spam-status: No, score=-0.9 required=10.0 tests=KI,SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb3
- Message-id: <87c77d230912212159p3f9674cdr3cf4f50f5bf5bf6d@xxxxxxxxxxxxxx>
- X-mail-count: 53443
こんにちは。
小室です。
表題について、皆様にお力頂きたいです。
CVE-2009-2699
について調べるとApache2.2.14でfixされたと本家Apacheサイトにありました。
http://www.apache.jp/news/apache-2.2.14-released
https://issues.apache.org/bugzilla/show_bug.cgi?id=47645
そしてCVEのサイトでは
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2699
DSAのリンクがないので、まだ対応してないのだと思いました。
しかし
http://security-tracker.debian.org/tracker/CVE-2009-2699
で見るとlibapr1, libapr1-dbg, libapr1-devパッケージ内でfixしたとありました。
apr系のパッケージはapache2-mpm-preforkの依存パッケージのようです。
そして現段階ではaprパッケージはfixされた物が入っています(1.2.12-5+lenny)
この場合、Debianではaprパッケージとして改修が行われていて、cveのサイトには載っていない&Debianのapache2本体のchangelogにはないが、実は改修されていて問題ない、という事なのでしょうか?
lennyだとapache2のversionは2.2.9-10+lenny6です。
セキュリティ対応についてDebianがどう対応しているのか検索したのですが、この先が分からず困っています。
もしお分かりの方がいらっしゃいましたら、ご教授頂けますと幸いです。
小室