2009年12月22日

[debian-users:53443] lennyでCVE-2009-2699が改修されているかどうかについて

こんにちは。
小室です。

表題について、皆様にお力頂きたいです。

CVE-2009-2699
について調べるとApache2.2.14でfixされたと本家Apacheサイトにありました。
http://www.apache.jp/news/apache-2.2.14-released

https://issues.apache.org/bugzilla/show_bug.cgi?id=47645

そしてCVEのサイトでは
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2699
DSAのリンクがないので、まだ対応してないのだと思いました。

しかし
http://security-tracker.debian.org/tracker/CVE-2009-2699
で見るとlibapr1, libapr1-dbg, libapr1-devパッケージ内でfixしたとありました。

apr系のパッケージはapache2-mpm-preforkの依存パッケージのようです。
そして現段階ではaprパッケージはfixされた物が入っています(1.2.12-5+lenny)

この場合、Debianではaprパッケージとして改修が行われていて、cveのサイトには載っていない&Debianのapache2本体のchangelogにはないが、実は改修されていて問題ない、という事なのでしょうか?

lennyだとapache2のversionは2.2.9-10+lenny6です。

セキュリティ対応についてDebianがどう対応しているのか検索したのですが、この先が分からず困っています。

もしお分かりの方がいらっしゃいましたら、ご教授頂けますと幸いです。

小室


投稿者 xml-rpc : 2009年12月22日 14:59
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/91626
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。