三屋@福井です >> OpenSSH の件については、 2.5 向には出しちゃった後で >> 問題ないことがわかったので改訂した、 >> 2.1 向には出す前に問題ないことがわかったので出していない >> ということだと思います。 > >そういった経緯はどこを見れば知ることができるのでしょうか? 今回の OpenSSH の件の場合は、(一般的な意味での公開ソースとして) http://www.cert.org/advisories/CA-2002-18.html でしょう。 実際の最初の情報は ML のようです。(Archive は次の通り) http://marc.theaimsgroup.com/?l=openssh-unix-dev&m=102495293705094&q=raw >> 問題ない場合にも出すべきかというのはそうなのかもしれませんね。 >> 全く情報を集めない人にはなくてもいいでしょうが、 >> 中途半端に情報を集める人には判断の材料が欲しいところなのでしょうね。 > >わかりました。 > >素人は、何も考えずにerrataが出たときにアップデートしておけばよい、 >ということですね。 真意は文面からは分かりませんが・・・(すねているようにも取れる書き方なので) Vine Project からの Errata が不具合・セキュリティホールの全てとは限りませんし、 必ずしもタイムリーな対応とも限りません。 先の http://www.cert.org/ は有用なソースですが、 「ここだけを見ればセキュリティホール情報は全て分かる」といった情報源 (Web Site)は 残念ながらこの世に存在していません。 現実問題として「セキュリティホール情報は自助努力が欠かせないもの」です。 その事が「元発言」にある >> 全く情報を集めない人にはなくてもいいでしょうが、 >> 中途半端に情報を集める人には判断の材料が欲しいところなのでしょうね。 が出てくる背景となるのだと個人的には理解しています。 「自助努力」という言葉が出てきてしまうのは、Vine Linux や Project Vine 故の問題 ではなく、例えば Micorosoft の製品についても同じ事です。 (Micosoft 自身が認めていない「セキュリティホール」が幾つも確認されている現実が ある事も、衆知とまでは行かなくても各所で公開されています) 「知らなければ幸せ」とは思いませんが、知り尽くそうと思うと「大変な努力が必要」 なのが現実です。 どのようなスタンスを取るべきか、どこまでで満足するか等、非常に難しい問題だと日々 感じます。 -------- Kazuhiko Misuya