k7-koyama です。 OpenSSH4.0が出たのですが、SUSE9.1 Pro のupdateリストに入ってきません。 これは、こういうものなのでしょうか? また、OpenSSH3.8p1 などのソースrpm を改造して、OpenSSH4.0 に 変更する事は可能なのでしょうか? ご存じの方がいらっしゃいましたら、宜しくお願いいたします。
M. Takeyamaです。 #簡単リプライ(でも、結構長くなってしまった。) On Wed, 30 Mar 2005 19:18:24 +0900 koyama <mlus@hintmark.com> wrote:
k7-koyama です。
OpenSSH4.0が出たのですが、SUSE9.1 Pro のupdateリストに入ってきません。
これは、こういうものなのでしょうか? OpenSSH3.8p1のメンテナンスリリースはあると思いますけど、 OpenSSH3.8p1 ---> OpenSSH4.0p1 はないと思います。(SUSE 9.1においては) #メンテナンスリリースの内容は、OpenSSH4.0p1からバックポート #するなどのかたちを取るはずです。 そういう意味では、そうです。
また、OpenSSH3.8p1 などのソースrpm を改造して、OpenSSH4.0 に 変更する事は可能なのでしょうか? ケース by ケースなので、specファイル(SRPM)をみたりしない となんとも言えません。 #原理的には、可能です。 #例えば、(私が実際にやった例として) #namazuの時は、2.0.12をベースにnamazu-2.0.14のパッケージ #を作成しましたけど。
OpenSSHの場合、あるバージョン以降Checkが厳しくなってたりして 事前に sshのアカウントがないとコンパイルできなかったりした ような...(いくつかはまるポイントがあったはず.うろ覚えですけど) あと、最近、 Openssl(0.9.7系)があがりました。 #セキュリバグのfixだったかもしれません。 #openssl-0.9.7f.tar.gzのソースChangeLogをまだみていない。 #(運用しているサーバのopensslは、0.9.6系なので後回し状態) ということで、sshのサーバの安全を高める(& 維持)しようということ であれば、同時にOpenssl(0.9.7系)のバージョンアップも検討しなければ いけないかもしれません。 --- M. Takeyama __________________________________ Do You Yahoo!? Upgrade Your Life http://bb.yahoo.co.jp/
M. Takeyamaです。 #自己フォローモード On Wed, 30 Mar 2005 20:10:50 +0900 "M. Takeyama(takezou)" <takezou040728@yahoo.co.jp> wrote: [...]
あと、最近、 Openssl(0.9.7系)があがりました。 #セキュリバグのfixだったかもしれません。 #openssl-0.9.7f.tar.gzのソースChangeLogをまだみていない。 #(運用しているサーバのopensslは、0.9.6系なので後回し状態) メールを出したあと、やっぱり気になったので、openssl-0.9.7f の ChangeLogをみてみたところ少なくとも1つはセキュリティバグが あったようです。
<openssl.orgからのアナウンスメント(リリース)とchangelog> http://www.openssl.org/news/announce.html http://www.openssl.org/news/changelog.html -----(openssl-0.9.7f のChangeLogからの抜粋)----- Changes between 0.9.7e and 0.9.7f [22 Mar 2005] *) Use (SSL_RANDOM_VALUE - 4) bytes of pseudo random data when generating server and client random values. Previously (SSL_RANDOM_VALUE - sizeof(time_t)) would be used which would result in less random data when sizeof(time_t) > 4 (some 64 bit platforms). This change has negligible security impact because: 1. Server and client random values still have 24 bytes of pseudo random data. 2. Server and client random values are sent in the clear in the initial handshake. 3. The master secret is derived using the premaster secret (48 bytes in size for static RSA ciphersuites) as well as client server and random values. The OpenSSL team would like to thank the UK NISCC for bringing this issue to our attention. [Stephen Henson, reported by UK NISCC] -------------------------------------------------- --- M. Takeyama __________________________________ Do You Yahoo!? Upgrade Your Life http://bb.yahoo.co.jp/
k7-koyama です。 Takeyama さん、ご返答ありがとうございます。
OpenSSH3.8p1のメンテナンスリリースはあると思いますけど、 OpenSSH3.8p1 ---> OpenSSH4.0p1 はないと思います。(SUSE 9.1においては) #メンテナンスリリースの内容は、OpenSSH4.0p1からバックポート #するなどのかたちを取るはずです。
なるほど、機能の追加は特に必要ないので バックポートされているのであれば安心です。 ありがとうございました。 KDE3.4とWnnを使ってみたいので、SUSE9.3 日本語が待ち遠しい (^^)
M. Takeyamaです。 #補足説明モード On Wed, 30 Mar 2005 20:50:33 +0900 koyama <mlus@hintmark.com> wrote:
k7-koyama です。
Takeyama さん、ご返答ありがとうございます。 いえいえ。
OpenSSH3.8p1のメンテナンスリリースはあると思いますけど、 OpenSSH3.8p1 ---> OpenSSH4.0p1 はないと思います。(SUSE 9.1においては) #メンテナンスリリースの内容は、OpenSSH4.0p1からバックポート #するなどのかたちを取るはずです。 少し、補足説明しておきます。 SUSE のパッケージのメンテナ―ではありませんが...
<一般論として> OpenSSH3.8p1 ---> OpenSSH4.0p1での一番の問題は、パッケージ の機能問題ではなく。バージョン番号の変化にともなう影響や 他のパッケージのと依存関係にあると思います。 考えれられる問題その1) 例えば、qt-x11-free-3.3.4.tar.bz2 から qt3-3.3.4のような パッケージが作成されています。このルールでいくと qt-x11-free-4.0.0.tar.bz2 の場合は、qt4-4.0.0 みたい になると予想されます。 この場合、qt4にパッケージにあげて、「Requires: qt3」 などと定義されているパッケージをインストールしようとすると 軒並みパッケージの依存関係で怒られることになります。 #qt >= 3 みたいなっていると大丈夫かもしれませんけど #全ての場合がそのようになっているとは限らない。 考えれられる問題その2) namazu-2.0.14のパッケージを作成したとき経験しましたが、 namazu-2.0.14のソース自体で configure の内容に変化があって、 The namazu-2.0.14 require 1.2 or more "File::MMagic(perl module)" になっていました。 バージョンをあげることは、それに付随するパッケージや ライブラリもバージョンアップする必要性が出てくるケース があります。 #実際のYOU(SUSE 9.1用)は、namazu-2.0.12-xxx.xx です。 よって、ソース自体(OpenSSH3.8p1 ---> OpenSSH4.0p1)を あげてパッケージを作成するのではなく。必要な機能を パッチというかたちで機能追加していく方法論を取ると 思います。 --> 欠点として、バージョン番号からセキュリティバグがfix したものかどうかが判断できない。(直感的判断ができない) #SRPMやアドバイザリを見ないとダメということですね。 リリースされたSUSE Linuxのメンテナンスは、安定性が重要視 されると思う。 #必要なら、project, peopleなどのパッケージを自己責任で #利用すれば良いわけですから。
なるほど、機能の追加は特に必要ないので バックポートされているのであれば安心です。 バックポートはどのバージョンからおこなうか? つまり、3.9p1, 4.0p1, HEAD(CVS)ソースなどのどこから やるかは、メンテナーにまかされていると思います。 #実際の内容は、なんと言ってもSRPMをみて確認してください。
KDE3.4とWnnを使ってみたいので、SUSE9.3 日本語が待ち遠しい (^^) SUSE 9.1(kernelだけ?) + Xorg 6.8.2 + qt3-3.3.4 +(IM: atokx)で KDE 3.4.0を使っていますが...
これが、SUSE 9.2.9(beta3)上の KDE 3.4.0 より軽いんですよね。 #必要に応じて好きなパッケージ入れているので、SUSE 9.1でも #不自由さを感じません。 --- M. takeyama __________________________________ Do You Yahoo!? Upgrade Your Life http://bb.yahoo.co.jp/
k7-koyamaです。 M. Takeyama さん、ご返答ありがとうございます。
バックポートはどのバージョンからおこなうか? つまり、3.9p1, 4.0p1, HEAD(CVS)ソースなどのどこから やるかは、メンテナーにまかされていると思います。 #実際の内容は、なんと言ってもSRPMをみて確認してください。
以前、SUSEのアップデートのurlを質問した事がありましたが、 まさに、この事なのです。 http でのページでは、変更内容のダイジェストみたいな ものが掲載されていたので、rpmの仕組みに疎い私でも、 文書で説明されていれば、変更理由、箇所がわかるため、 アップデートする際の参考にしたいと思います
M. Takeyamaです。 On Tue, 05 Apr 2005 19:39:09 +0900 koyama <mlus@hintmark.com> wrote:
バックポートはどのバージョンからおこなうか? つまり、3.9p1, 4.0p1, HEAD(CVS)ソースなどのどこから やるかは、メンテナーにまかされていると思います。 #実際の内容は、なんと言ってもSRPMをみて確認してください。
以前、SUSEのアップデートのurlを質問した事がありましたが、 まさに、この事なのです。 そうですか。
http でのページでは、変更内容のダイジェストみたいな ものが掲載されていたので、rpmの仕組みに疎い私でも、 文書で説明されていれば、変更理由、箇所がわかるため、 アップデートする際の参考にしたいと思います YOU(パッケージの中身)に関する Webなどによるアナウンス メントがイマイチなところは、SUSE Linux の今後の課題 なのではないかと思っています。
ただ、最近、SUSEのsecurity advisoriesは、定期的に ダイジェスト版も出しているようです。 (参考までに) 例) http://www.novell.com/linux/security/advisories/2005_09_sr.html http://www.novell.com/linux/security/advisories.html 私の場合、必要に応じて SRPMをDownloadして, ソース(やパッチファイル)、 SPECファイルを抽出して中身を確認しています。 #一般向きな方法論ではありませんね。 YOUでupdateする前に rpmファイルをDownloadしてchangelog をみてから、変更点を推測するというのはどうでしょうか。 #まあ、1手間増やすことになりますが... 例) rpm -qp --changelog パッケージ名.rpm --- M. Takeyama __________________________________ Do You Yahoo!? Upgrade Your Life http://bb.yahoo.co.jp/
M. Takeyamaです。 #さらに、自己フォローモード On Tue, 05 Apr 2005 21:15:38 +0900 "M. Takeyama(takezou)" <takezou040728@yahoo.co.jp> wrote: [...]
http でのページでは、変更内容のダイジェストみたいな ものが掲載されていたので、rpmの仕組みに疎い私でも、 文書で説明されていれば、変更理由、箇所がわかるため、 アップデートする際の参考にしたいと思います YOU(パッケージの中身)に関する Webなどによるアナウンス メントがイマイチなところは、SUSE Linux の今後の課題 なのではないかと思っています。
ただ、最近、SUSEのsecurity advisoriesは、定期的に ダイジェスト版も出しているようです。 (参考までに) 例) http://www.novell.com/linux/security/advisories/2005_09_sr.html http://www.novell.com/linux/security/advisories.html
SUSE の場合、独特のドキュメントがあったことを忘れていました。 Updateパッケージの中に、xxx.i586_en.info というような ファイル(.rpm が _en.info に置き換わったファイル)が 同時に配布されいます。 changelogを見たほうが良いのか、このファイルのDescription: を見たほうが良いのかはケース by ケースですが... アップデートするかしないかの判断の目安にはなると思います。 例) ftp://ftp.suse.com/pub/suse/i386/update/9.1/rpm/i586 XFree86-4.3.99.902-43.28.i586.patch.rpm --- パッチのパッケージ XFree86-4.3.99.902-43.28.i586.rpm --- Updateのパッケージ XFree86-4.3.99.902-43.28.i586_de.info --- ドイツ語の説明 XFree86-4.3.99.902-43.28.i586_en.info --- 英語の説明 --- M. Takeyama __________________________________ Do You Yahoo!? Upgrade Your Life http://bb.yahoo.co.jp/
participants (2)
-
koyama -
M. Takeyama(takezou)