2009年9月19日

[debian-users:53011] Re: Debian Stable/Lenny のバッファオーバーフロー対策

返信ありがとうございます。

>  原文では security risk ですので、ちょっと大げさに訳しすぎですね。

そうですね。「セキュリティの危険」ということなので、つい勘違いしてしまい
ました。でもそれくらいが「注意喚起」……いや、「警告」としてはよいのかもし
れません。

>  意図しないパッケージアップデートがあってバージョンがが変更されると、
>  設定した意図とは違う状態になることがままあります。それはリスクとして
>  認識すべきでしょう。

>  自動的にというのは、変更されることによるリスク発生を確認してない
>  ということですよね。セキュリティにセンシティブになるなら、その部分
>  を省くコストメリットとリスクを天秤にかけなければ本末転倒です。

つまり、ユーザーの了解とそのリスクの確認もなく、勝手にパッケージが更新さ
れてバイナリや設定ファイルが書き換えられる危険性、ということでよろしいで
すか? 

まっさらのstable(安定版)ならば、経験上、アップデートは「セキュリティ
アップデート」と、「debian volatile」(volatileの発音は分かりませんが)
と、ポイントリリースにともなうアップデートぐらいです。非公式リポジトリが
あれば間隔も違うかもしれません。

セキュリティアップデートは一週間に四、五回、volatileは不定期更新
(clamav-dataは毎日?)、ポイントリリースは数ヶ月に一度、くらいでしょう
かね? セキュリティアップデートは2、3日更新がないときもあります。

そのような環境ならよいのかもしれません。でも状況次第ではダメですかね?
(例・・・大企業のウェブサーバー、教育機関・官庁のデータベースサーバーを
動かしている、とか)


mejikoはunstableやtestingはつかったことがありませんが(ProposedUpdateで
懲りたので使うべきではない?)そちらの更新頻度はどうなのでしょうか?(一
日に数回? 多いときもある? 新しいメジャーバージョンがでたときは入れ替
わりが激しいとか聞いたことがありますけど)

もしそれらの環境でcron-aptで自動インストールな設定をしていたらとんでもな
いですよね。それこそ上記のようなリスクがありますし、はまってしまう原因に
もつながりかねませんね、きっと。

投稿者 xml-rpc : 2009年9月19日 17:27
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/88732
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。