OpenBSDユーザーコーナー Part10

[過去ﾛｸﾞ] OpenBSDユーザーコーナー Part10 (1002ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

187: 2019/10/07(月)21:21 AAS
セキュリティー的に真っ当か、って、どう判断すればいいんだろうね。
UNIXのコマンド知っている程度のスキルだと、使いこなせないわ。

188: 2019/10/07(月)21:51 AAS
はよう糞まみれになろうぜ

189: 2019/10/07(月)22:16 AAS
>>186
具体的に穴だらけとわかるならソース箇所を指摘してあげればOpenBSDに貢献できる。
できないなら黙って使うしかない。

190: 2019/10/07(月)22:28 AAS
英語書けないし貢献する気もないや

191(1): 2019/10/08(火)01:16 AAS
そう思ってたけど、CVE追うと最近のEHELは穴を放置する事が多い
言うまでもなく、最新を使う方が0day以外では確実

192: 2019/10/08(火)06:55 AAS
外部ﾘﾝｸ[html]:www.openbsd.org

ｸﾙ?

193: 2019/10/08(火)08:03 AAS
ｺﾅｲ

194: 2019/10/08(火)08:16 AAS
ｺﾅｷ

195: 2019/10/08(火)08:28 AAS
一般の企業のITセキュリティって有償サポートがあるかどうかだからな。

196(1): 2019/10/08(火)08:35 AAS
>>191
真偽を確認したいから具体的なCVE番号一つあげてみて

197: 2019/10/08(火)14:14 AAS
最新のOpenBSDでさえ山ほど問題あって改良し続けてるんだなあと感じる今日この頃
外部ﾘﾝｸ[html]:www.openbsd.org

198(2): 2019/10/08(火)16:23 AAS
>>196

えー使うのやめたからいちいち覚えてねぇ、、

最近だと

8/12に出たmod_http2の脆弱性
外部ﾘﾝｸ:access.redhat.com
SCLが未対応

昔のだと
php-opensslとか
外部ﾘﾝｸ:access.redhat.com

openssl
外部ﾘﾝｸ:access.redhat.com

っていうか殆どバックポートパッチ作ってないなRH最近

199: 2019/10/08(火)17:40 AAS
#10/05にcvsしたcurrentをビルドしたら 6.6 のbetaがとれてた

200: 2019/10/08(火)19:09 AAS
ｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!

201: 2019/10/08(火)20:20 AAS
あとはパッケージを固めてリリースつくってだから、今週末にはくるかな。

202(2): 2019/10/08(火)22:50 AAS
>>198
ありがとう。
CVE-2019-1563 の方はNVDでもimpactが低いからまあいいとして
CVE-2015-8867 の方はNVDとRHELでimpact評価が全然違うのな。
これは別のパッチのおかげでimpactが下がってるってことなんだろうか。

顧客サイトにRHEL入れてるから悩ましい。
さりとてOpenBSD入れるのも無理なんだよな。
半年ごとにOS入れ替える運用コストは払えない...

203: 2019/10/08(火)23:01 AAS
>>202
> 半年ごとにOS入れ替える運用コストは払えない...
そりゃそうだ。RedHatは10年サポートだし。Ubuntu Server LTSでも5年。OpenBSDは個人で使えばいい。

204: 2019/10/08(火)23:53 AAS
>>202
でもRHELだってパッチも当てずに放置はできないだろ？
法定の電気設備点検のすきに入れ替えちゃえばいいんじゃないの？

205: 2019/10/09(水)01:03 AAS
当てるパッチがRHから出ないって言ってるのでは？
脆弱性のニュースが出て、それのインパクトは低いからRHとしてはパッチ出しませんって宣言されたら、お客にはなんて説明しようって悩むな。
ホントにセキュリティリスクないのか？とか言われて、ええRHがインパクト低いって言ってるんで、で通りゃいいんだけど。

206: 2019/10/09(水)02:29 AAS
パッチがちゃんと出てるRHEL(があったとして)と半年ごとのOpenBSD
前者だって確認もせずにパッチを当てるわけにはいかない
だったら半年ごとの定期的なOpenBSDでも同じでは？ってことよ

207: 2019/10/09(水)05:45 AAS
また東大卒経営者?w

208: 2019/10/09(水)07:03 AAS
？東大にコンプレックスでもあるの？

209: 2019/10/09(水)07:15 AAS
やっぱり知恵遅れのウソツキかw

210: 2019/10/09(水)07:44 AAS
公開してないサーバーやし大丈夫やっ！

211(1): 2019/10/09(水)08:48 AAS
法定点検で点検立ち入り中だし、そもそも電気も止まるしって状況でどうやってOS入れ替えるんだw
点検日の夜間にやるにしても、完全同一構成のテスト用ハードウェアなんて用意してなくてリハーサルできないから、トラブったら終わる。
RHELならベンダー保証があるからそれほどトラブらないはず。
とはいえ性能劣化してカーネル戻したりファームウェア戻したりは稀にあるけど。

RHELのパッチ当ては月イチくらいのメンテで普通に降ってくるバイナリを入れるだけよ。
ユーザーランドの動作確認は社内環境で済ませてるからホントに入れるだけ。
コマンド一つだし、リブート不要なケースならホントにすぐ終わるよ。

212(1): 2019/10/09(水)08:58 AAS
>>211
ベンダー保証があるからトラブらないってのは希望的観測だよな。
ま、そうであって欲しいんだけど。
RHELのパッチは降ってくるのを当てるだけはいいとして、CVE出てるのに対応するRHELパッチが出ないことを苦悩してるという話なので、言ってることが的外れだ。

213(1): 2019/10/09(水)14:03 AAS
>>212
Red Hatを信用するなら実は苦悩する必要はない。
NVDとRHELで impact 評価が異なる値になる理由は、別のパッチで impact が緩和されるからだと Red Hat はちゃんと説明している。

OSを使うならOSベンダーを信用するには当たり前の話なので、つまりは杞憂だったってことだな。

214: 2019/10/09(水)19:35 AAS
ELなる前のRHは tar ball 落としてきて /usr/local/src 入れて make; make installl が当たり前だった気がするんだけど当時の俺の職場だけかな

古いもの動かすのはなんとかなっても、新しい物が動かなすぎ
今の時代に合ってないよ
10年サポートとか言っても古すぎて10年使えないことがほとんど

215: 2019/10/09(水)19:42 AAS
>>213
＞OSを使うならOSベンダーを信用するには当たり前の話なので、

当たり前ではない、むしろ採用してても疑ってかかるものでは？

216: 2019/10/09(水)20:26 AAS
別に 100% 信用するなんて話はしていない。(当たり前すぎ。そこから説明が必要だったのか)

OS ベンダーの行っている impact 判断がおおよそ信用できると判断している場合に限り、その OSを使うべきであって、
そうではないなら OS を乗り換えるべきだという話をしている。

あと >>198 の例は Red Hat が信用できないとする証拠としては不足してるって話もね。

上下前次 1-新書関写板覧索設栞歴

あと 786 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ

ぬこの手ぬこTOP 0.013s