Re: OpenSSH 4.0 and JPCERT/CC Alert 2005-03-09

From(投稿者):	"Shibuya, Nobuhiro" <shibuya@dd.iij4u.or.jp>
Newsgroups(投稿グループ):	fj.comp.security
Subject(見出し):	Re: OpenSSH 4.0 and JPCERT/CC Alert 2005-03-09
Date(投稿日時):	Sat, 12 Mar 2005 23:11:30 +0900
Organization(所属):	a person
References(祖先記事, 一番最後が直親):	(G) <YAS.05Mar11035533@kirk.is.tsukuba.ac.jp>
(G) <4232D283.69C49FBB@dd.iij4u.or.jp>
(G) <050312222641.M0104047@azusa.ics.nara-wu.ac.jp>
Message-ID(記事識別符号):	(G) <4232F892.81FEB62F@dd.iij4u.or.jp>

From(投稿者):

"Shibuya, Nobuhiro" <shibuya@dd.iij4u.or.jp>

Newsgroups(投稿グループ):

fj.comp.security

Subject(見出し):

Re: OpenSSH 4.0 and JPCERT/CC Alert 2005-03-09

Date(投稿日時):

Sat, 12 Mar 2005 23:11:30 +0900

Organization(所属):

a person

References(祖先記事, 一番最後が直親):

(G) <YAS.05Mar11035533@kirk.is.tsukuba.ac.jp>

(G) <4232D283.69C49FBB@dd.iij4u.or.jp>

(G) <050312222641.M0104047@azusa.ics.nara-wu.ac.jp>

Message-ID(記事識別符号):

(G) <4232F892.81FEB62F@dd.iij4u.or.jp>

記事全体へのコマンド

渋谷@家から です

NIDE Naoyuki wrote:

> 知られる古いOpenSSHを使っている場合は速やかに更新を」「3.9/3.9p1より前の
> バージョンのOpenSSH *の多く* には既知の脆弱性あり」ですね。なので、言っ
> てることは嘘ではないし、3.9より前でも既知の脆弱性のないバージョンを使っ
> ている場合は最新のにしろとは書いてない、と。まあ、わかりにくい書き方では
> あると思いますが…

ああなるほど。大味ではあるけど誤ってはいないのですね。
おなじく Slashdot Japan でDebian security FAQ

        http://www.jp.debian.org/security/faq#version

のポリシーに言及している記事もあったのですが、debianのやり方の方が好きかも。
NetBSDのメインなサーバも脆弱性つぶしは同様の取り組み方だったかと記憶します。
-- 
mailto:shibuya@dd.iij4u.or.jp           渋谷伸浩

Fnews-brouse 1.9(20180406) -- by Mizuno, MWE <mwe@ccsf.jp>
GnuPG Key ID = ECC8A735
GnuPG Key fingerprint = 9BE6 B9E9 55A5 A499 CD51 946E 9BDC 7870 ECC8 A735