teratail
回答率
85.34%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.34%
トップCentOSに関する質問
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

Q&A

解決済

2回答

5136閲覧

脆弱性パッチが適用されたパッケージがリリースされるまでの期間

question-server
question-server

総合スコア30

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

0グッド

1クリップ

投稿2017/02/06 04:40

0

1

前提

  • CentOS6.8

質問内容

  • 脆弱性に対するパッチが適用されたパッケージがリリースされるまでの期間は通常どれくらいかかるものなのでしょうか?
  • パッケージの種類、脆弱性の深刻度によって、リリースまで速い、遅いの違いはあるのでしょうか?具体例があれば教えて下さい。
  • パッチが適用されたパッケージのリリース情報はどこかのサイトで即発表されるものなのでしょうか?あるのであればおすすめサイトを教えて下さい。
  • その他質問内容に関するもので参考になるサイトなどあれば教えてください。

以上、宜しくお願い致します。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

引用テキストパッケージの種類、脆弱性の深刻度によって、リリースまで速い、遅いの違いはあるのでしょうか?具体例があれば教えて下さい。

この答えは、Yesです。以下に「本家の修正に即時に対応したもの」、「時間がかかったもの」、「対応されなかったもの」の例をあげます。いずれもPHPです。

まず、早かったもの。

CGI版PHPのリモートコード実行脆弱性 CVE-2012-1823

PHP 5.3.28 2012/5/8
RHEL5/6 2012/5/7
https://access.redhat.com/security/cve/cve-2012-1823

なんと、本家よりも早くパッチが出ていますね

次に、時間がかかったもの。

PHPの header 関数における キャリッジリターンのチェック漏れ CVE-2011-1398

PHP 5.3.10 2012/2/2

RHEL5 2013/12/11 約 1年10ヶ月後
RHEL6 2013/2/20 約 1年後
参考: https://access.redhat.com/security/cve/cve-2011-1398

1年以上時間がかかっています。

最後に、パッチが出なかったもの。

Use after free vulnerability in session deserializer CVE-2015-6835

PHP 5.6.13 2015/09/03

RHEL/CentOS 修正なし
参考: https://access.redhat.com/security/cve/cve-2015-6835

投稿2017/02/06 14:16

編集2017/02/06 14:19
ockeghem
ockeghem

総合スコア11705

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

question-server
question-server

2017/02/21 07:26

返事が遅れてしまし申し訳ありません。 具体例の提示ありがとうございます。種類、脆弱性の深刻度によって変わって、パッチがでなかったものもあるのですね。理解できました。ありがとうございます。 今後も宜しくお願いします。
guest

0

  • 脆弱性に対するパッチが適用されたパッケージがリリースされるまでの期間は通常どれくらいかかるものなのでしょうか?
  • パッケージの種類、脆弱性の深刻度によって、リリースまで速い、遅いの違いはあるのでしょうか?具体例があれば教えて下さい。

OSが提供するサポート中のパッケージであれば、経験上通常1日程度で提供されているように思います。
ただし、CentOSにおいては例えば今CentOS 6.8を使っている場合、この後Red Hat Enterprise Linux 6.9がリリースされてからCentOS 6.9がリリースされるまでの間(少なくともRC版に相当するContinuous Releaseが現れるまでの半月から1月ほど)はパッチが提供されない状態になります。
これはCentOSを使う際の最大級のリスクかもしれません。

  • パッチが適用されたパッケージのリリース情報はどこかのサイトで即発表されるものなのでしょうか?あるのであればおすすめサイトを教えて下さい。

以下から見ることができます。
https://lists.centos.org/pipermail/centos-announce/

投稿2017/02/06 05:31

編集2017/02/06 05:35
yunano
yunano

総合スコア841

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

question-server
question-server

2017/02/21 07:27

返事が遅れてしまし申し訳ありません。 一度どんなメーリングリストがあるかなど自分で整理してみたいとおもいます。ご回答ありがとうございました。 今後も宜しくお願いします。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.34%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップCentOSに関する質問

脆弱性パッチが適用されたパッケージがリリースされるまでの期間