パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

glibcに脆弱性」記事へのコメント

  • sidにはパッチが当たったlibcが下りて来てますが、stretch(testing)はまだ。
    http://metadata.ftp-master.debian.org/changelogs/main/g/glibc/glibc_2.... [debian.org]より:

    glibc (2.21-8) unstable; urgency=critical

        * Update from upstream stable branch:
            - Fix an integer overflow in hcreate() and hcreate_r() (CVE-2015-8778).
                Closes: #812441.
        * patches/any/local-CVE-2015-7547.diff: new patch to fix glibc getaddrinfo
         

    • Re: (スコア:5, 参考になる)

      jessie つまり stable も修正済みです

      DSAから引用すると
      > For the stable distribution (jessie), these problems have been fixed in version 2.19-18+deb8u3.
      とのことです

      なおglibcにはCVE-2015-7547だけでなく,さらに3つ脆弱性が発見されていて,今回のアップデートで修正されているとのことです

      詳細は https://www.debian.org/security/2016/dsa-3481 [debian.org] をみてください

      • by Anonymous Coward

        発見者がFedoraの開発者であることもあってGentooなどのマイナーなディストリビューションを除いて主要なディストリビューションは既に修正済みのようですね。

        • by Anonymous Coward on 2016年02月17日 21時24分 (#2966296)

          発見者がFedoraの開発者であることもあってGentooなどのマイナーなディストリビューションを除いて主要なディストリビューションは既に修正済みのようですね。

          何を勘違いしてるのか知らんが、あらゆるディストリに先駆けて速攻で対策したのがGentooですから。
          glibc-2.22用がこれ [gentoo.org]。 (2016-02-16 20:38:22)
          glibc-2.21用がこれ [gentoo.org]。 (2016-02-16 19:01:28)
          とっくの昔にrsync配布止めてるんで、.ebuildが書かれた瞬間にgithubからemerge --syncで一発で落ちてくるやね。

          ええ。ビルドは各自勝手にするから、パッチ書くだけなんで速攻ですよ。
          スラドのタレコミどころか、ITmediaの記事が出るより早いみたいなね。
          そもそもこの速度に主要なディストリビューションとやらが着いてこれるわけねえじゃん。
          むしろ何故Gentooがまだだと思ったのか理解できない・・・

          つーか俺もそうだったけど、気が早い奴はportageで降ってくる前にepatch_userで勝手にパッチ当ててリビルドしてたんでねえの?
          matsuu@厳冬あたりだったらepatch_userどころか、自分で.ebuildまで書いてmergeしてそうだし。
          だいたいからして、他人が握ったライブラリ使うだけの輩と一緒くたにされたくはねえわな。

          親コメント
          • debian のリポジトリは 2016-01-31 に修正されています
            https://anonscm.debian.org/cgit/pkg-glibc/glibc.git/commit/?id=a398029... [debian.org]

            そもそも CVE-2015 とあるようにこれは去年見つかったバグで,具体的には2015年の7月に報告されたものです
            https://sourceware.org/bugzilla/show_bug.cgi?id=18665 [sourceware.org]

            bugzillaにやり取りが記録されていますが,問題が指摘されてから修正されるまでに半年近く掛かっています.
            つまり glibcの開発者やディストリビューションのメンテナ達は半年前から原因究明,修正作業を進めていた事になります

            この全体の工程をみれば,アップデートの配布日が数日前後するのは些細なことですし
            その数日の差で一喜一憂するのは末端の一部のユーザだけだと思います

            親コメント
            • by Anonymous Coward

              > bugzillaにやり取りが記録されていますが,問題が指摘されてから修正されるまでに半年近く掛かっています.
              > つまり glibcの開発者やディストリビューションのメンテナ達は半年前から原因究明,修正作業を進めていた事になります

              というよりも、実際に攻撃が成立する手法がなさそうな間は対処の優先順位が低かっただけでしょ
              実際に手法が確立してこりゃやばいとなったから一気に修正しなきゃになっただけで

              • by Anonymous Coward

                そうそう。

                • redhatは早期に発見し、根治のため時間をかけていた
                • googleが後から発見し、表面的な修正策とともに連絡をとった
                • 合同で攻撃手法を研究し発見、根本解決を発表←今ココ

                みたいな順序じゃなかったっけ

            • bugzillaにやり取りが記録されていますが,問題が指摘されてから修正されるまでに半年近く掛かっています.
              つまり glibcの開発者やディストリビューションのメンテナ達は半年前から原因究明,修正作業を進めていた事になります

              邪悪なM$()が修正に半年もかけてたら
              鬼の首でも取ったかのように大騒ぎするくせに

              • by Anonymous Coward

                え、普通に半年以上放置してから出てきているものもありますよね?

                exploitが出てから影響範囲と期間のバランスなんじゃないの? ユーザの手元にウイルスが届いているのにパッチがない状態だったら 普通に怒ると思いますが、今回はそうじゃないでしょ・・・

                相変わらず、信者はどこの信者も気持ち悪いね

              • by Anonymous Coward

                お互いを信者と罵り合い、結局誰も何かに陶酔しているわけではないという…

          • by Anonymous Coward

            Gentooのパッケージシステムってそんな感じなのか、めっちゃ面白そう。
            Archだと公式/準公式レポのビルド設定が気に食わない事が多くて、どうせmakepkgしちゃうんだよなぁ。

            • by Anonymous Coward

              /etc/portage/make.confにいろいろ書いておけば、あとは全部ソースからビルドしてくれるよ。これが標準。libreOfficeとかデカいのは、バイナリパッケージというのも可。

              #たぶんArchでも同じようにできるのだろうけど、デフォルトがバイナリかソースからビルドかの違いなんかな?Archもちょっと使ってみたい。

          • by Anonymous Coward

            https://bugs.gentoo.org/show_bug.cgi?id=574880 [gentoo.org]
            ここのcomment2

            pre-notification channelsを持ってないのがマイナーな鳥

          • by Anonymous Coward

            Gentooって他のディストリビューションでも使えるコードを書いたりもせず、セキュリティの調査に参加したりもせず、ただ配布のみを行ってる印象でRedHatとは対照的。

            「ライブラリを握るだけ」のディストリビューションなんですよね。

            • by Anonymous Coward

              Gentoo は成果を upstream に持ってこうとせずに
              ディストリビューションの閉じた世界の中で
              黒魔術を駆使しまくるイメージ。

          • by Anonymous Coward

            とりあえず、、、

            「そうだ、そうだ」

            #遠山の金さんのおしらすの雑魚悪役風

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...