[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:57809] Re: sidから借りてくるパッケージのセキュリティ修正



こんばんは、松井です。
岩松さま、レスありがとうございます。

投稿した後、
unstable でのセキュリティ修正はバージョンアップと共に提供され、
それまでのバージョンのセキュリティホールは放置されるのが普通なのではないか、
という気がしてきました。

unstable  / sid の場合は放置されず、バージョンアップされるとともにセキュリティ問題が
修正されることが多いです。また、開発元でもバージョンアップの場合は新しいバージョンと
共にセキュリティ問題が修正されることが多いです。

期待されていることが理解できていないのですが、例えば バージョン1.0 を使っていて、この
バージョンでセキュリティ問題が発生した。開発元ではバージョン 1.1 がリリースされ、該当する
セキュリティ問題が修正された。Debian は 1.1 をパッケージ化した 1.1-1 が unstable にインストール
された、という状況のとき、松井さんは 1.0 に対しての修正を unstable に 期待されていますか。
通常であれば、1.1-1 をインストールするだけで問題は解決するのですが。

まず、確認したいのですが
「この場合、このパッケージが testing や unstable でバージョンアップされても上記インストール時のパッケージがキープされる。」
というのは
バージョンアップ版がリリースされても
$ sudo apt-get install (パッケージ名)/unstable
によってインストールされたものはバージョンが据え置かれ、そのバージョンへのセキュリティ修正が提供される場合には
$ sudo apt-get update && sudo apt-get upgrade -y
によって自分の debian のセキュリティは修正される、
という理解で合っていますでしょうか?

しかしそうだとしても、
古いバージョンのセキュリティ修正は必ず行われるというわけではないでしょうから、
言われてみれば確かに
$ sudo apt-get remove (パッケージ名)
でアンインストールした後に再インストールすればいいだけの話ですね。
いつも
$ sudo apt-get update && sudo apt-get upgrade -y
にセキュリティ修正は全て任せっぱなしでしたので、
こんな簡単なことに気づきませんでした。
ただ、そうすると sid からパッケージを借りてインストールした場合には、こまめに
http://metadata.ftp-master.debian.org/changelogs//main/0/0ad/0ad_0.0.17-1_changelog
こういう Webページなどでバージョンアップをチェックする習慣は付けなければいけません。

ネットにつながずに使うのなら
特定のパッケージのみを借りてくるこのやり方でもいいでしょうが、
ネットにつなげて使う場合は
提供されるセキュリティ修正を享受するためには普通にdist-upgrade した方がいい、
という理解で合っていますでしょうか?

ネット(インターネット)につなげていなくても、セキュリティ修正がおこなわれたパッケージを
インストールするのが良いと思います。

これも確かに言われてみれば
ネットにつなげたくない場合であっても
他のマシンで deb ファイルをダウンロードして
それを USBメモリ などで目的のマシンに移して
gdebi でインストールすればいいだけの話ですね。

---
Kenji Matsui