- Upcoming PostgreSQL Security Release: April 4, 2013
http://www.postgresql.org/message-id/CAN1EF+x0dmwMFuJGWuXMiRQtyT1s=Pe95f9gaF=uVCEa=V61fQ@mail.gmail.com
今回の対象は、コミュニティでメンテナンスされているすべてのバージョンとのことです。
現在コミュニティでメンテナンスされているのは、9.2系、9.1系、9.0系、8.4系のメジャーバージョンですので、これらについてマイナーアップデートがリリースされる模様です。
- PostgreSQL: Versioning policy
http://www.postgresql.org/support/versioning/
なお、コアチームからは「月曜日の午後(日本時間の火曜日?)から木曜日の午前中まで、コードレポジトリのミラーやコミットメールの配送も一時停止し、(各プラットフォーム向けの)パッケージが(ビルド、テストされて)リリースされるまでの間、コミッター以外はコミットを参照できなくなります」とアナウンスが出ています。
- Extra security measures for next week's releases
http://www.postgresql.org/message-id/14040.1364490185@sss.pgh.pa.us
その目的は、セキュリティFIXをレポジトリにコミットしてから、パッケージがビルド、テストされて配布されるまで数日を要するため、その間、脆弱性についての情報が広まるのを防ぐため、ということのようです。コアチームのMagnus Hagander氏のブログから対訳形式で引用します。
So why are we doing this? It's pretty simple - it takes a few days to prepare packages for all our supported platforms, to do testing on these, and get them ready for release. If we just committed the security fixes and then proceeded with the packaging, that would mean that anybody who was following our repository would be able to see those fixes a few days before the fixes were available to the majority of the users.
なぜ我々はこのようなことをするのか? 非常にシンプルです - 我々がサポートしているすべてのプラットフォーム向けにパッケージを作成し、テストをしてリリース準備ができるようになるのに数日を要するからです。もし、我々が単にセキュリティFIXをコミットし、パッケージ作成を実施しようとすると、我々のレポジトリを追いかけている誰であっても、それらの修正がユーザの多くに利用可能になる前の数日間、それらの修正を参照することができてしまいます。
このような対応をした例は私の記憶にはありませんが、この対応を見る限り、次のマイナーリリースにはかなり深刻な脆弱性に対するセキュリティFIXが含まれると思われますので、今からアップグレードをする予定を立てた方が良いかもしれません。再度、Magnus Hagander氏のブログから。
Finally, for those of you who are our users, a short repeat. A new release is planned next week, current schedule is release on April 4th. We advise all users to review the security announcement and apply the fix as quickly as possible if the vulnerability is targetable in your environment. The patch will require installation of new binaries and a restart of the database, but no further migration work than that. 最後に、PostgreSQLのユーザである方々へ、端的に繰り返します。新しいリリースは来週、現在の予定だと4月4日に予定されています。我々は、すべてのユーザにセキュリティアナウンスをレビューし、もしあなたの環境において脆弱性が存在しているのであれば、可及的速やかに修正を適用することを勧告します。パッチは、新しいバイナリのインストールとデータベースの再起動を必要としますが、それ以上の移行作業は必要ありません。実際にリリースされたら、その詳細を見てみたいと思います。
We take the security of our users seriously, and try our best to protect them as much as possible. It's out belief that the tradoffs we've done here are in their best interest. The future will tell, of course, if that belief is correct.
我々は、ユーザのセキュリティを深刻に捕えており、可能な限りそれらを保護できるようにベストを尽くそうとしています。我々が選択したトレードオフは、最善であると我々は信じています。もちろん、我々の信じるところが正しかったかどうかは、未来が教えてくれるでしょう。
では、また。
※参考
About security updates and repository "lockdown" - Magnus Hagander's PostgreSQL blog
http://blog.hagander.net/archives/212-About-security-updates-and-repository-lockdown.html
0 件のコメント:
コメントを投稿