vine-users ML アーカイブ



[vine-users:051605] Re: セキュリティ関連の話 3 件 & その他

  • From: Daisuke SUZUKI <daisuke@xxxxxxxxxxx>
  • Subject: [vine-users:051605] Re: セキュリティ関連の話 3 件 & その他
  • Date: Sun, 23 Jun 2002 17:08:40 +0900
鈴木です。
security@xxxxxxxxxxxxx にもふります。

On Sun, 23 Jun 2002 16:15:13 +0900
Masa Takahashi <masa@xxxxxxxxxxxxxxxxxxx> wrote:

> 一つ目
> Vine2.5がリリースされた今となってはユーザ数も少ないのかも
> 知れませんが、Vine2.1.5以前に含まれているNetscapeに
> cookie漏洩のセキュリティ上の問題点があると日経BP社の
> 日経Linuxのセキュリティ関連のホームページに記載がありまし
> たが、この件、対応していただけないでしょうか? > Projectの
> 皆様

ここに書いてあるのは

Cookie Vulnerability

A flaw that could potentially allow a malicious web site to
read the cookies that another site has stored on a user's
computer has been discovered in Netscape 6 through 6.2
versions of the Netscape browser . There are no known
instances of this flaw being exploited. This issue does not
affect users of Netscape 6.2.1, which is now available for
download, nor does it effect users of Netscape Communicator
4.x versions. We encourage those using Netscape versions 6
through 6.2 to upgrade to the recently released Netscape
6.2.1.

これのことだとおもうのですが、netscape 4 には影響ないと
書いてありますね。ほかにもありましたっけ?
 
> 二つ目
> 上記の件と同じホームページにVine2.5に含まれているバージョ
> ンNo.のMozillaにはローカルファイルを読み出されてしまうとい
> う問題点が記載されてましたが、この件は対策済でしょうか >
> Projectの皆様

今 VineSeed でテストしている Mozilla では問題ないですが、まだ直す
部分がいくらか有るので保留されています。
 
> 三つ目
> 既に対策済なのかも知れませんが、
> http://kerneltrap.org/index.php?or=10
> という所の下の方にOpenSSHの問題点(BufferOverflow?)らしき
> 物が掲載されていましたので念の為、御報告いたします。

これは AFS/Kerberos 認証のバグなので、Vine Linux の OpenSSH では
影響しませんね。
# いちおう Openssh-3.3p1 は作ってはいますが。
 
> その他
> apt-getでVine2.1.5にkernelの0vl0.24のsrc.rpmを入れ
> mkkpkgを使い再構築、ところが途中でerror、そこで手作業で
> /usr/src/linux以下で設定をしていて気付いたのですが、
> 0vl0.23よりも設定項目が少なくなっているような気がするので
> すが気のせいでしょうか?(確か0vl0.23にはext3の設定があった
> ような気がするのですが、0vl0.24には無くなっているような)

これはよく見てないのでわかりませんが、安定性重視のため
多少の増えたり減ったりはあります。
ext3 については、0vl0.24 でも、
tristate 'Second extended fs development code' CONFIG_EXT3_FS
にあります。
# ちなみに Vine Linux 2.1.5 ではext3fs は公式には未サポートです。
 
> BIOSをupdateしたらX上でAPMがうまく動かなくなったのですが
> これの対応を御願いするのは酷ですよね、XFree86v4.xでは問題
> が無いので............

これはなんとも言えないですね。対応といっても星の数程有る
BIOSに対応はできませんし。APM は基本的には BIOS で幾どを
やってしまうので、旨く動かないときはBIOS がわるいという場合が
多いですし。
 
> Vine2.5は私の使い方に問題があるのかも知れませんが、不可解
> な動作が多い様に思えるので当面はvine2.1.5を使い続けるつも
> りでいます。

不可解な動作をレポートいただければ、バグであれば直せるかもしれ
ませんが、ただ不可解というだけですと何ともしようがありません。。

> VineのホームページやML等ではVine2.5のマイナーUPが、ありそ
> うな事が書かれていますが、それを待ちたいと思います。

Web には書いてありませんが、そのうちマイナーバージョンアップというか
Updated CDIMAGE をだすかもしれません。ただ、時期や内容については
一切未定です。

> Vine2.5には沢山のメリットがあるとは感じておりますが、私の
> 様なおっちょこちょいにはVine2.5を使い続けるのは困難と思わ
> れますのでもう少し待ちたいと思っております。

具体的にどこがマズイかお教え頂けないと、既知のバグ以外に付いては
次のバージョンアップでもかわっていないと思います。

-- 
Daisuke SUZUKI <daisuke@xxxxxxxxxxx>
President, Project Vine.                      
http://vinelinux.org/
President, Vine Caves, Ltd.                   
http://vinecaves.com/
Vice President, Japan Linux Association.      
http://jla.linux.or.jp/