web-dev-qa-db-ja.com

CVE-2016-5696の正しい読み方

buntu CVEトラッカーページ には、カーネルパッケージに関連する複数のテーブルが含まれており、その一部はDNE、その他はpending、各バージョンの横にあるバージョンなどです。各表の読み方を教えてください。 pendingの横のバージョンは、修正がリリースされたカーネルのバージョンを示していますか?

質問のコンテキスト:Ask Ubuntuサイトで質問に答えます。最近、サイトの新しいユーザーは、上記のCVEレポートを誤解し、非常に煩わしい方法で私の元の回答を編集するところまで確信しました。

完全に正直に言うと、CVEページは、CVEレポートを定期的に読んでいない人にとって確かに混乱しています。したがって、そのようなレポートを将来に向けて適切に読み、サードパーティの意見を得る方法を知っているとよいでしょう。

20

保留中の横のバージョンは、修正がリリースされたカーネルのバージョンを示していますか?

はい、正確には、「保留中」の横のバージョンは、修正が含まれている系統内のパッケージのバージョンを指します。

さまざまなハードウェアプラットフォームやその他のユースケース( "linux"、 "linux-mako"、 "linux-snapdragon"など)のアップストリームカーネルソースのバイナリパッケージは多数あり、リリース系統も多数あります(Ubuntu 12.04 LTS /)。 14.04/etc-同時に維持されるすべてのパッケージ。

したがって、上流のバグは、複数の系統にわたる同じソースの複数のパッケージで修正する必要がある場合があります。複雑であるため、トリアージプロセスを使用して、関連する分類を実行し、作業を追跡します。このページでは、この特定のバグのトリアージプロセスの状態について報告します。

これは次のように追跡できます。

  • パッケージ-"linux"-と系統-"Ubuntu 12.04 LTS"のいずれかを選択します。

    この表は、その系統におけるそのパッケージの修正の状態が「保留」であることを示しています。その系統に修正が含まれるパッケージのバージョンは「3.2.0-109.150」です。

  • 確認するには、パッケージの系統リンクをたどります- https://launchpad.net/ubuntu/precise/+source/linux

  • lineage-packageページの「Releases in Ubuntu」セクションまでスクロールし、独自のページがある特定の修正バージョンを見つけます。 https://launchpad.net/ubuntu/+source/linux/3.2 .0-109.15

  • そのページには変更ログがあります。その変更ログには、CVE(CVE-2016-5696)、作成された特定の修正、および作成者への参照が含まれています

CVEページは、系統内および系統間の上流のソースとそのパッケージ間の相互関係を追跡する複雑なデータモデルから自動的に公開されるため、混乱を招きます。読みやすさではなく、権限に合わせて最適化されたテンプレートに従います。

「DNE」や「保留中」などの分類は、Ubuntuが従うトリアージとリリースのワークフローを指します。そのページの状態は次のとおりです。

  • 「DNE」は、パッケージが系統内に存在しないことを意味します
  • 「無視された」とは、何らかの理由でサポートが終了したため、系統内の特定のパッケージに問題が存在するかどうかを判断するためにエネルギーが消費されていないことを意味します。たとえば、Ubuntu 12.04 LTS系統のlinux-lts-quantalパッケージを参照してください。その系統におけるその特定のパッケージ(バックポートされたハードウェア有効化パッケージ)のサポートは、サポート終了となりました。
  • 「トリアージが必要」とは、系統内のパッケージが引き続きサポートされていることを意味しますが、報告された問題が実際にそのパッケージと系統のペア内に存在するかどうかを判断する作業が必要です。たとえば、Ubuntu 16.10の「linux-goldfish」パッケージを参照してください。
  • 「影響を受けない」とは、根本的なソースコードの脆弱性が系統内の特定のパッケージに存在することを意味しますが、トリアージは他の理由で問題が発生しないと判断しました。たとえば、Ubuntu 16.04 LTS内の「linux-mako」を参照してください。
  • もちろん、「必要」とは、トリアージが系統内のパッケージに影響があると判断したものの、系統内の特定のパッケージに修正を適用する作業が依然として必要であることを意味します。たとえば、12.04系統のlinux-armadaxpパッケージを参照してください。
  • 「保留中」とは、系統内の特定のパッケージに修正を適用するために必要な作業が行われ、バージョンがカットされ、リリースが作業中であることを意味します。
  • 「リリース済み」とは、系統内のパッケージの修正がリリースされたことを意味します
15
Jonah Benton