最近新しく発見されたSSLエラーを処理するために純粋なDebianディストリビューションをアップグレードしました。 OpenSSLで報告されたバージョン番号は1.0.1eで、最新ではありませんが、報告されたビルド時間は次のように生成されるため重要ではないと聞きました。
openssl バージョン -b
2014年6月4日です。したがって、「バージョン」が古くなっても、Debian は何とか脆弱性を「パッチ」したと確信しています。したがって、セキュリティ投稿で主張するように1.0.1eがパッチされているため、実際には1.0.1hは必要ありません。
私はこれを理解していないようです。誰かが正確に何が起こっているのかを説明できますか? 1.0.1h の代わりに 1.0.1e が表示された場合、脆弱性がパッチされたかどうかはどうすればわかりますか?なぜDebianはディストリビューションに1.0.1hを入れないのですか?わかりません。
ベストアンサー1
あなたはおそらく定義に従ってパッケージのバージョンを確実に保つためにDebian stableを探しているでしょう。特定のバージョンのstableに付属しているすべてのopensslバージョンは維持されます。セキュリティを修正するために、Debian 管理者は安定版リリースをアップグレードする代わりに、アップストリーム・セキュリティー・パッチを安定版リリースにバックポートします。すべての最新のアップストリームバージョンが必要な場合は、不安定なブランチが必要になります。
Q:このパッケージの以前のバージョンを使用するのはなぜですか?
セキュリティ問題を解決する新しいパッケージを作成する際の最も重要なガイドラインの原則は、できるだけ少ない変更を適用することです。私たちのユーザーと開発者は、リリース後の正確な動作に依存しているため、私たちが変更したことは誰かのシステムを損傷する可能性があります。これは特にライブラリの場合に当てはまります。 API(アプリケーションプログラミングインターフェイス)またはABI(アプリケーションバイナリインターフェイス)がどんなに小さくても絶対に変更されないようにしてください。
これは、新しいアップストリームバージョンに移行するのが良いソリューションではなく、代わりに関連する変更をバックポートする必要があることを意味します。一般的に言えば、アップストリーム管理者は必要に応じて喜んで支援し、そうでなければDebianセキュリティチームが助けることができます。
大量のソースコードを変更または再構築する必要がある場合など、セキュリティ修正をバックポートできない状況があります。このような場合は、新しいアップストリームバージョンに移行する必要があるかもしれませんが、事前にセキュリティチームと協調する必要があります。