西村@Security Team です。 >> "touchan" == touchan <touchan@xxxxxxxxxxxxxx> writes: touchan> On Thu, Jul 11, 2002 at 07:15:25PM +0900, NISHIMURA Daisuke wrote: >> OpenSSH の件については、 2.5 向には出しちゃった後で >> 問題ないことがわかったので改訂した、 >> 2.1 向には出す前に問題ないことがわかったので出していない >> ということだと思います。 touchan> そういった経緯はどこを見れば知ることができるのでしょうか? Debian の advisory が、古いのも残っていて経過がわかるようです。 http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00045.html http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00048.html 2002-06-24: DSA-134-1: よくわからないけど 3.3p1 にしろ 2002-06-27: DSA-134-4: 3.4p1 にするか設定を確認 というようになってます (乱暴なまとめですが)。 # -2 と -3 は、 Debian のパッケージの話なので省略しました。 OpenSSH 3.4 が出たのは 2002-06-26 です。 Vine での対応は、 2.5 向に 3.3p1 のパッケージを出したのが 2002-06-26 で、 OpenSSH 3.4 の出る前です。 その後、 2002-06-28 に、改訂版として 3.4p1 のパッケージが 出ています。 このときまで 2.1 向の作業は進んでいなくて、デフォルトの設定で 問題ないことがわかってしまったので、それで終りになってしまった ということのようです。 2.5 向の作業が早く進んだのは、現在、 VineSeed とほとんど同じで、 Seed 向に作ったパッケージがそのまま使えたからだと思います。 Vine の対応に関しては、私自身は security team に入っているので 一部わかるのですが、ログは公開されていないはずです。 OpenSSH の対応については、 http://www.jp.openbsd.org/openssh/txt/preauth.adv の 6. Release Process: に詳しく書かれていますが、これだけではよくわからないです。 ところで、 2.5 向と 2.1 向で対応に時間差が生じて 2.5 で 直っているバグが 2.1 でどうなっているのかわからないという 問題ですが、現在 errata ページが別々になっているのを 一緒にすれば改善されるでしょうか。 対象のところに 2.1[未] などと書くようにして。 今回の OpenSSH の件では「2.1 は修正パッケージなし」のように 書くことになるでしょうか。 他のディストリビューションではそうなっているところが 多いみたいなので。 -- 西村 大介 <nishi@xxxxxxxxxxxxxxxxxxxxx> 東京大学 総合文化研究科 広域システム科学系