アカウント名:
パスワード:
sidにはパッチが当たったlibcが下りて来てますが、stretch(testing)はまだ。 http://metadata.ftp-master.debian.org/changelogs/main/g/glibc/glibc_2.... [debian.org]より:
glibc (2.21-8) unstable; urgency=critical * Update from upstream stable branch: - Fix an integer overflow in hcreate() and hcreate_r() (CVE-2015-8778). Closes: #812441. * patches/any/local-CVE-2015-7547.diff: new patch to fix glibc getaddrinfo
glibc (2.21-8) unstable; urgency=critical
* Update from upstream stable branch: - Fix an integer overflow in hcreate() and hcreate_r() (CVE-2015-8778). Closes: #812441. * patches/any/local-CVE-2015-7547.diff: new patch to fix glibc getaddrinfo
jessie つまり stable も修正済みです
DSAから引用すると> For the stable distribution (jessie), these problems have been fixed in version 2.19-18+deb8u3.とのことです
なおglibcにはCVE-2015-7547だけでなく,さらに3つ脆弱性が発見されていて,今回のアップデートで修正されているとのことです
詳細は https://www.debian.org/security/2016/dsa-3481 [debian.org] をみてください
発見者がFedoraの開発者であることもあってGentooなどのマイナーなディストリビューションを除いて主要なディストリビューションは既に修正済みのようですね。
何を勘違いしてるのか知らんが、あらゆるディストリに先駆けて速攻で対策したのがGentooですから。glibc-2.22用がこれ [gentoo.org]。 (2016-02-16 20:38:22)glibc-2.21用がこれ [gentoo.org]。 (2016-02-16 19:01:28)とっくの昔にrsync配布止めてるんで、.ebuildが書かれた瞬間にgithubからemerge --syncで一発で落ちてくるやね。
ええ。ビルドは各自勝手にするから、パッチ書くだけなんで速攻ですよ。スラドのタレコミどころか、ITmediaの記事が出るより早いみたいなね。そもそもこの速度に主要なディストリビューションとやらが着いてこれるわけねえじゃん。むしろ何故Gentooがまだだと思ったのか理解できない・・・
つーか俺もそうだったけど、気が早い奴はportageで降ってくる前にepatch_userで勝手にパッチ当ててリビルドしてたんでねえの?matsuu@厳冬あたりだったらepatch_userどころか、自分で.ebuildまで書いてmergeしてそうだし。だいたいからして、他人が握ったライブラリ使うだけの輩と一緒くたにされたくはねえわな。
debian のリポジトリは 2016-01-31 に修正されていますhttps://anonscm.debian.org/cgit/pkg-glibc/glibc.git/commit/?id=a398029... [debian.org]
そもそも CVE-2015 とあるようにこれは去年見つかったバグで,具体的には2015年の7月に報告されたものですhttps://sourceware.org/bugzilla/show_bug.cgi?id=18665 [sourceware.org]
bugzillaにやり取りが記録されていますが,問題が指摘されてから修正されるまでに半年近く掛かっています.つまり glibcの開発者やディストリビューションのメンテナ達は半年前から原因究明,修正作業を進めていた事になります
この全体の工程をみれば,アップデートの配布日が数日前後するのは些細なことですしその数日の差で一喜一憂するのは末端の一部のユーザだけだと思います
> bugzillaにやり取りが記録されていますが,問題が指摘されてから修正されるまでに半年近く掛かっています.> つまり glibcの開発者やディストリビューションのメンテナ達は半年前から原因究明,修正作業を進めていた事になります
というよりも、実際に攻撃が成立する手法がなさそうな間は対処の優先順位が低かっただけでしょ実際に手法が確立してこりゃやばいとなったから一気に修正しなきゃになっただけで
そうそう。
みたいな順序じゃなかったっけ
邪悪なM$()が修正に半年もかけてたら鬼の首でも取ったかのように大騒ぎするくせに
え、普通に半年以上放置してから出てきているものもありますよね?
exploitが出てから影響範囲と期間のバランスなんじゃないの? ユーザの手元にウイルスが届いているのにパッチがない状態だったら 普通に怒ると思いますが、今回はそうじゃないでしょ・・・
相変わらず、信者はどこの信者も気持ち悪いね
お互いを信者と罵り合い、結局誰も何かに陶酔しているわけではないという…
Gentooのパッケージシステムってそんな感じなのか、めっちゃ面白そう。Archだと公式/準公式レポのビルド設定が気に食わない事が多くて、どうせmakepkgしちゃうんだよなぁ。
/etc/portage/make.confにいろいろ書いておけば、あとは全部ソースからビルドしてくれるよ。これが標準。libreOfficeとかデカいのは、バイナリパッケージというのも可。
#たぶんArchでも同じようにできるのだろうけど、デフォルトがバイナリかソースからビルドかの違いなんかな?Archもちょっと使ってみたい。
https://bugs.gentoo.org/show_bug.cgi?id=574880 [gentoo.org]ここのcomment2
pre-notification channelsを持ってないのがマイナーな鳥
Gentooって他のディストリビューションでも使えるコードを書いたりもせず、セキュリティの調査に参加したりもせず、ただ配布のみを行ってる印象でRedHatとは対照的。
「ライブラリを握るだけ」のディストリビューションなんですよね。
Gentoo は成果を upstream に持ってこうとせずにディストリビューションの閉じた世界の中で黒魔術を駆使しまくるイメージ。
とりあえず、、、
「そうだ、そうだ」
#遠山の金さんのおしらすの雑魚悪役風
Linuxがだめなんじゃない。sraderがだめなんだよ。
Microsoftを攻撃するだけじゃあきたらず、distro同士でも罵り合わないと気がすまないとか、すげえ連中だなあ。
ってか、使用者は基本全方向に攻撃が正しい姿だと思うんだけどねw所詮道具ごときに信者とか信じられんわ今どきはOSが気に入らなくなれば、他のを使えばいいだけだろーに
・・・と言いつつ、仕事のPCをlubuntuにしてみたら、結構はまってちょっと辛い
信者か攻撃対象の2者択一って、その考え方は完全に間違ってる。だからダメなんだよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
Debianだと (スコア:2)
sidにはパッチが当たったlibcが下りて来てますが、stretch(testing)はまだ。
http://metadata.ftp-master.debian.org/changelogs/main/g/glibc/glibc_2.... [debian.org]より:
Re: (スコア:5, 参考になる)
jessie つまり stable も修正済みです
DSAから引用すると
> For the stable distribution (jessie), these problems have been fixed in version 2.19-18+deb8u3.
とのことです
なおglibcにはCVE-2015-7547だけでなく,さらに3つ脆弱性が発見されていて,今回のアップデートで修正されているとのことです
詳細は https://www.debian.org/security/2016/dsa-3481 [debian.org] をみてください
Re: (スコア:0)
発見者がFedoraの開発者であることもあってGentooなどのマイナーなディストリビューションを除いて主要なディストリビューションは既に修正済みのようですね。
なにいっとんのこいつ? (スコア:1, 興味深い)
発見者がFedoraの開発者であることもあってGentooなどのマイナーなディストリビューションを除いて主要なディストリビューションは既に修正済みのようですね。
何を勘違いしてるのか知らんが、あらゆるディストリに先駆けて速攻で対策したのがGentooですから。
glibc-2.22用がこれ [gentoo.org]。 (2016-02-16 20:38:22)
glibc-2.21用がこれ [gentoo.org]。 (2016-02-16 19:01:28)
とっくの昔にrsync配布止めてるんで、.ebuildが書かれた瞬間にgithubからemerge --syncで一発で落ちてくるやね。
ええ。ビルドは各自勝手にするから、パッチ書くだけなんで速攻ですよ。
スラドのタレコミどころか、ITmediaの記事が出るより早いみたいなね。
そもそもこの速度に主要なディストリビューションとやらが着いてこれるわけねえじゃん。
むしろ何故Gentooがまだだと思ったのか理解できない・・・
つーか俺もそうだったけど、気が早い奴はportageで降ってくる前にepatch_userで勝手にパッチ当ててリビルドしてたんでねえの?
matsuu@厳冬あたりだったらepatch_userどころか、自分で.ebuildまで書いてmergeしてそうだし。
だいたいからして、他人が握ったライブラリ使うだけの輩と一緒くたにされたくはねえわな。
Re:なにいっとんのこいつ? (スコア:2)
debian のリポジトリは 2016-01-31 に修正されています
https://anonscm.debian.org/cgit/pkg-glibc/glibc.git/commit/?id=a398029... [debian.org]
そもそも CVE-2015 とあるようにこれは去年見つかったバグで,具体的には2015年の7月に報告されたものです
https://sourceware.org/bugzilla/show_bug.cgi?id=18665 [sourceware.org]
bugzillaにやり取りが記録されていますが,問題が指摘されてから修正されるまでに半年近く掛かっています.
つまり glibcの開発者やディストリビューションのメンテナ達は半年前から原因究明,修正作業を進めていた事になります
この全体の工程をみれば,アップデートの配布日が数日前後するのは些細なことですし
その数日の差で一喜一憂するのは末端の一部のユーザだけだと思います
Re: (スコア:0)
> bugzillaにやり取りが記録されていますが,問題が指摘されてから修正されるまでに半年近く掛かっています.
> つまり glibcの開発者やディストリビューションのメンテナ達は半年前から原因究明,修正作業を進めていた事になります
というよりも、実際に攻撃が成立する手法がなさそうな間は対処の優先順位が低かっただけでしょ
実際に手法が確立してこりゃやばいとなったから一気に修正しなきゃになっただけで
Re: (スコア:0)
そうそう。
みたいな順序じゃなかったっけ
毎度恒例の二重基準 (スコア:0)
bugzillaにやり取りが記録されていますが,問題が指摘されてから修正されるまでに半年近く掛かっています.
つまり glibcの開発者やディストリビューションのメンテナ達は半年前から原因究明,修正作業を進めていた事になります
邪悪なM$()が修正に半年もかけてたら
鬼の首でも取ったかのように大騒ぎするくせに
Re: (スコア:0)
え、普通に半年以上放置してから出てきているものもありますよね?
exploitが出てから影響範囲と期間のバランスなんじゃないの? ユーザの手元にウイルスが届いているのにパッチがない状態だったら 普通に怒ると思いますが、今回はそうじゃないでしょ・・・
相変わらず、信者はどこの信者も気持ち悪いね
Re: (スコア:0)
お互いを信者と罵り合い、結局誰も何かに陶酔しているわけではないという…
Re: (スコア:0)
Gentooのパッケージシステムってそんな感じなのか、めっちゃ面白そう。
Archだと公式/準公式レポのビルド設定が気に食わない事が多くて、どうせmakepkgしちゃうんだよなぁ。
Re: (スコア:0)
/etc/portage/make.confにいろいろ書いておけば、あとは全部ソースからビルドしてくれるよ。これが標準。libreOfficeとかデカいのは、バイナリパッケージというのも可。
#たぶんArchでも同じようにできるのだろうけど、デフォルトがバイナリかソースからビルドかの違いなんかな?Archもちょっと使ってみたい。
Re: (スコア:0)
https://bugs.gentoo.org/show_bug.cgi?id=574880 [gentoo.org]
ここのcomment2
pre-notification channelsを持ってないのがマイナーな鳥
Re: (スコア:0)
Gentooって他のディストリビューションでも使えるコードを書いたりもせず、セキュリティの調査に参加したりもせず、ただ配布のみを行ってる印象でRedHatとは対照的。
「ライブラリを握るだけ」のディストリビューションなんですよね。
Re: (スコア:0)
Gentoo は成果を upstream に持ってこうとせずに
ディストリビューションの閉じた世界の中で
黒魔術を駆使しまくるイメージ。
Re: (スコア:0)
とりあえず、、、
「そうだ、そうだ」
#遠山の金さんのおしらすの雑魚悪役風
Re: (スコア:0)
Linuxがだめなんじゃない。sraderがだめなんだよ。
Re: (スコア:0)
Microsoftを攻撃するだけじゃあきたらず、distro同士でも罵り合わないと気がすまないとか、すげえ連中だなあ。
Re: (スコア:0)
ってか、使用者は基本全方向に攻撃が正しい姿だと思うんだけどねw
所詮道具ごときに信者とか信じられんわ
今どきはOSが気に入らなくなれば、他のを使えばいいだけだろーに
・・・と言いつつ、仕事のPCをlubuntuにしてみたら、結構はまってちょっと辛い
Re: (スコア:0)
信者か攻撃対象の2者択一って、その考え方は完全に間違ってる。
だからダメなんだよ。