Q&A
ご回答ありがとうございます!
* 生きているリポジトリのパッケージのものに移行していくのが良い
* 利用しないものは削除する
* 利用しているもののみインストール
貴重なご意見ありがとうございます。頂いたご意見参考にさせて頂きます。ありがとうございました。
CentOSの公式サイトでrpmforge リポジトリを使うなと書かれていました。
RPMForge/RepoForge - This is a dead project. Not maintained. DO NOT USE.
この影響で今まで--enablerepo=rpmforge などして使用していたパッケージは今後一切更新されないという認識です。
そこで質問です。
既ににシステムではrpmforgeからインストールしたパッケージを幾つか使用しています。
- このままこのパッケージを使い続けるのはセキュリティ的に危険でしょうか?できれば削除したほうがよいのでしょうか?
- 他に危惧しなければいけない点あれば教えてください
以上宜しくお願いします。
回答2件
0
ベストアンサー
「RPMForge (RepoForge) 終了のお知らせ」にまとめていますが、2014年7月10日に一部のパッケージが更新されたのを最後に更新されていません。
そのため、その後に発覚したバグや脆弱性は対応されていないことになり、セキュリティ上はどちらかと言えば危険かと思います。
万が一 RepoForge リポジトリのパッケージを利用しているものに脆弱性が含まれていた場合、セキュリティの面では完全にアウトですし、脆弱性が深刻な内容の場合はサーバーに深刻なダメージを受けるかもしれません。また、サーバーの用途によってはサーバーの利用者にも損害を与える可能性も考えられます。
また、パッケージによってはパフォーマンスが改善している場合もありますので、そういうポジティブな意味でも最新のパッケージに更新されるリポジトリの方が有利です。
EPEL リポジトリなどで概ね代替可能なので、早急に変更されるのが望ましいかと思います。
現在有効になっているリポジトリの一覧
yum repolist
パッケージの情報(どのリポジトリからインストールしたか)
yum info httpd
インストール済みパッケージ 名前 : httpd アーキテクチャー : x86_64 バージョン : 2.4.6 リリース : 45.el7.centos 容量 : 9.4 M リポジトリー : installed 提供元リポジトリー : base ←ここで分かります 要約 : Apache HTTP Server URL : http://httpd.apache.org/ ライセンス : ASL 2.0 説明 : The Apache HTTP Server is a powerful, efficient, and extensible : web server.
公開リポジトリの一覧
投稿2017/02/01 01:13
編集2017/02/01 23:48
総合スコア580
0
このままこのパッケージを使い続けるのはセキュリティ的に危険でしょうか?できれば削除したほうがよいのでしょうか?
パッケージにより異なりますが、各パッケージのリリースノートを確認し利用しているバージョンについて、利用環境でセキュリティ的に問題があれば削除するのではなく、他の生きているリポジトリのパッケージのものに移行していくのが良いと思います。
前提として、利用しているもののみインストールしていると認識しています。利用しないものは削除しましょう。
投稿2017/01/31 05:48
総合スコア6621
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/02/01 23:30
2017/02/01 23:41
2017/02/01 23:55