ソフトウェア製品は開発元が公開している他に各種 OS ベンダなどが独自にパッケージ化して提供していることがあります。

このようなソフトウェア製品について脆弱性対応が行われたとき、開発元からの対策版提供とは別に、独自パッケージ配布元において、対策版パッケージが提供されることがあります。

配布元の開発・提供ポリシーに関係しますが、ソフトウェア製品はバージョンによって機能の違いもありうるため、旧版に対して脆弱性対応を行なって提供している例が多くあります。このような場合、パッケージのバージョンには脆弱性を指摘された旧バージョン番号が使われていることとなります。

例えば、OpenSSH に関する CVE-2008-1483 という問題では、OpenSSH チームからは対策版として OpenSSH-5.0 が提供されています。これに対し OS 配布元における対応例として Debian GNU/Linux が OpenSSH1.4.3 を元にした openssh-client 1.4.3p2-9etch1 を独自パッケージとして提供しています。

このように独自パッケージにおいては、開発元が提供している対策バージョンよりも前のバージョンに対して対策がなされていることがあり、システム管理者は配布元のこのような提供ポリシーについて把握しておくことが必要です。

JPCERT/CC REPORT では開発元が提供している対策済みバージョンを記載する代わりに「使用している OS のベンダや配布元が提供する修正済みのバージョンに更新することで解決します。」といった記述を多く用いています。

Weekly Report 2008-07-09号 に掲載