[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:57248] Re: python-milterについて
佐々木です.
At Wed, 20 Aug 2014 11:28:59 +0900,
Mitsuhiro Yamazaki <manhaku@xxxxxxxxx> wrote:
>
> さて表題の件ですが、パッケージに付属のマニュアル類が/usr/share/doc以下
> に乏しかったため、元になったpymilterのtarボールをsourceforgeからダウン
> ロードしてみました。
>
> すると、セキュリティソフトに反応がありました。
>
> ファイル名,リスク
> "pymilter-0.9.5/test/virus4","W32.Nimda.enc",
> "Unknown0000002E.data","W32.Nimda.enc",
> "pymilter-0.9.5/test/virus5","W32.Aliz.Worm",
> "Unknown0000002E.data","W32.Aliz.Worm",
> "pymilter-0.9.5/test/virus1","VBS.LoveLetter.A",
> "LOVE-LETTER-FOR-YOU.TXT.vbs","VBS.LoveLetter.A",
pymilter の upstream は test 用のデータとして, いわゆる「ウィルス」を同梱
しています.
> どうもtarボールに混入してるっぽいです。
upstream の意図です.
> 調べてみましたが、現行だけでなく過去バージョンも同じ状況になっているっ
> ぽいです。これってDebianのパッケージには影響ないのでしょうか。
ビルドされたバイナリ自体には影響はありません.
とはいえ, ソースファイルに(test用途とはいえ)ウィルスそのものを同梱してい
るのは如何なものか, という指摘は既に upstream に投げかけられています.
# しかしながら, その後どうなったのかは把握していません...
> というわけで、皆さんもお気を付けくださいということでした。
まあ, そうですね. というわけで, そういうソースパッケージです, と.
こういう場合はどうするのが良いんでしょうねぇ. ビルド時にテスト通さない,
ってのは嫌ですが, 一方で「ウィルス」を配布していることにもなるわけで...
---
Youhei SASAKI <uwabami@xxxxxxxxxxxxxx>
<uwabami@debian.or.jp>
GPG fingerprint:
4096/RSA: 66A4 EA70 4FE2 4055 8D6A C2E6 9394 F354 891D 7E07