岩井です。 Project の方々ではありませんが、 僕が知っていることを書いておきます。 On Thu, 24 Oct 2002 19:01:45 +0900 Subject: [vine-users:054551] openssl について Message-Id: <3DB7C509.10000@xxxxxxxxxxxxxxxxxxx> Masa Takahashi <masa@xxxxxxxxxxxxxxxxxxx> wrote: > あの後、rpm -q openssl -changelogにて調べてみると、最近の > 処理はRedHat用のpatchを当てた形跡が、 > これ自体は問題無いと思うのですが、このpatchの後にRedHat側 > では、幾つかのpatchが当てられています。 現状の Vine 2.5 用のものは RedHat の 0.9.6b-24 相当です。 これは、RHSA-2002-155 のものです。 # http://rhn.redhat.com/errata/RHSA-2002-155.html で、それ以降に 「Updated openssl packages fix protocol parsing bugs」 として、RHSA-2002-160 がでています。 これは、DoS に対する fix みたいです。 # http://rhn.redhat.com/errata/RHSA-2002-160.html openssl-0.9.6b-28.src.rpm の changelog から抜粋。 | * Fri Aug 02 2002 Nalin Dahyabhai <nalin@xxxxxxxxxx> 0.9.6b-28 | | - update asn patch to fix accidental reversal of a logic check | | * Thu Aug 01 2002 Nalin Dahyabhai <nalin@xxxxxxxxxx> 0.9.6b-27 | | - update asn patch to reduce chance that compiler optimization will remove | one of the added tests | | * Thu Aug 01 2002 Nalin Dahyabhai <nalin@xxxxxxxxxx> 0.9.6b-26 | | - rebuild | | * Tue Jul 30 2002 Nalin Dahyabhai <nalin@xxxxxxxxxx> 0.9.6b-25 | | - add patch to fix ASN.1 vulnerabilities > RedHatをベースにしているVineでは必要ないのでしょうか? > > 幾つかの雑誌やwww.linux.or.jp等でも色々な情報があり、 > 今のままでも、問題無い様に記述されているのもあれば > 問題有の様に記述があるのもあります。 CA-2002-23 に関連する問題でしょうか? 何か情報を持っているのならその情報をください。 なお、Vine Linux Security Watch Team は随時人手を募集してます。 | Vine Linux Security Watch Team 協力者募集 (2001,08,22) | Vine Linux のセキュリティアップデート情報を監視報告していただける 方を募集し | ています。VineSeed, Vine Linux 2.x についてセキュリティ 情報をウオッチしてご報 | 告いただける方は、Vine@xxxxxxxxxxxxx まで ご連絡おねがいします。 | 都合によりご連絡頂いた方へのお返事が多少遅くなる場合があります。 ご了承くだ | さい。 * 別件として RHSA-2002-160 相当のものを出す必要はある気はしていますが、 僕個人は時間とれてません。もしかしたら、「時間をとれよ。」という 意見はあるかも知れませんが、それはたぶんお互い様だと思います。;P -- いわい