2009年10月14日

[debian-users:53181] Re: 「DSA_1906-1」についての質問(依存関係上にあるソフトウェアについての問題)

武藤@Debianぷろじぇくとです。

At Mon, 12 Oct 2009 09:25:07 +0900,
canon wrote:
> 十月十一日付けの「DSA-1906-1」で、オフィシャル版の古いClamAVのサポートを
> 終了し、代わりに「debian-volatile」のものを使用してくださいとあります。

この件については、debian-securityメーリングリストで議論になって

います。下記のご質問についても、方針や意見交換が行われているので、
興味があれば参加してみるのもよいでしょう。debian-usersは基本的に
ユーザー同士の互助であって、開発の方針に何か働きかけるというもの
ではないですから。

一連のスレッド: [SRM] clamav 0.94.x EOL
http://lists.debian.org/debian-security/2009/10/msg00019.html

> しかしオフィシャル版のClamAV(特にライブラリのlibclamav5)に依存している
> ソフトウェアをインストールしており、必然的に古いライブラリ「libclamav5」
> をインストールされています。
>
> オフィシャル版clamavのサポートが中止してしまったので、今後この様なソフト
> ウェアは一体どうなってしまうのでしょうか。(ポイントリリース時に順々に
> アップグレードしてくのか、リポジトリから消えるのか、それとも放置されてし
> まうのか、次期メジャーリリースまで持ち越されるのか)

セキュリティチームメンバのMoritzは、リポジトリからの削除を選択
したようです。今後のclamavはstableには収録せず、volatile経由
のみの配布となります。

> 無理やり最新版のライブラリに合わせるようにすることも技術的には可能です
> が、ソフトウェアによっては「libclamav5」以上のライブラリには対応していな
> いものもあります。
> このように「依存関係」に「libclamav5 (>= 0.94.dfsg)」がある状態です。

基本的にいずれもリビルドで済むはずですが、clamavをstableから削除した
ときにstableに入っているバージョンのものをどうするかについては、まだ
議論が続いています。volatileあるいはbackportsも候補に挙がっています。
volatileのclamavでリビルドしたものでstableにポイントリリースされる
可能性もないとは言えないです。
興味があればdebian-securityでの議論に参加しましょう。

> あとhavpについてですが、clamavのライブラリではなく、clamdデーモンを使う
> こともできるそうで、一種の回避策にはなりそうです。しかし当方のclamdデー
> モンのソケットは既にeximで使っていて、havpとeximと同時に使って衝突しない
> か心配です。

ソケットファイルでのブロッキングはネットワークでのブロッキングと同様に
実装次第なのでなんともいえないですが、clamavみたいな複数受付を最初から
考えているものなら競合については心配することはまぁないでしょう。
--
武藤 健志@ kmuto @ kmuto.jp
Debian/JPプロジェクト (kmuto@xxxxx, kmuto@xxxxx)
株式会社トップスタジオ (kmuto@xxxxx)
URI: http://kmuto.jp/ (Debianな話題など)


投稿者 xml-rpc : 2009年10月14日 14:29
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/89398
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。