Ubuntu使用歴1年でやっとのこと聖地Debianの門を叩こうとしている者です。 U8と申します。 よろしくお願いいたします。
Opensslの脆弱性の記事に接して以来、 Debianではいつ、どのように対応されるのか?を観察していましたが、 私の環境では今日現在、まだアップデートが落ちてきていません。 https://news.mynavi.jp/techplus/article/20220508-2339903/
私の環境Debian11のOpensslのバージョン 1.1.1n-0+deb11u1
Debianでは、この手のセキュリティアップデートは、どういうタイミングで来るものなのでしょうか? また通常、パッケージ入れ替えですか、それともパッチなのでしょうか?
こんにちは杉浦と申します。
その一連のセキュリティリリースは (一つ perl スクリプトのやつを除き)、 以下の 3/15 日にリリースされた 1.1.1k-1+deb11u2 で対応済みです。 https://www.debian.org/security/2022/dsa-5103
その後 19日にさらに 1.1.1n-0+deb11u1 にバージョンが上がっています。 これが今お使いのものですが、こちらにも修正は含まれています。
セキュリティ情報のページを見ると案内されています。 https://www.debian.org/security/ https://www.debian.org/security/2022/
ある特定のパッケージのセキュリティ対応情報を見たい場合は security tracker を利用すると良いです。 openssl だとこれになります。 https://security-tracker.debian.org/tracker/source-package/openssl
今回の問題は以下の4つですね。 https://security-tracker.debian.org/tracker/CVE-2022-1292 https://security-tracker.debian.org/tracker/CVE-2022-1343 https://security-tracker.debian.org/tracker/CVE-2022-1434 https://security-tracker.debian.org/tracker/CVE-2022-1473
最初の c_rehash の perl script の問題がいつ修正される予定なのかは、 自分はちょっとわかりません。(ただまあ……これを使っているケースはかなり 低そうかなという気はしますが)
Debianでは、この手のセキュリティアップデートは、どういうタイミングで来るものなのでしょうか? また通常、パッケージ入れ替えですか、それともパッチなのでしょうか?
入れ替え、の意味によりますがパッケージのアップグレードです。 一般的には apt update && apt upgrade すると入ります。
-
debian_u8only@ccmail.uk -
Tatsuki Sugiura