前回ブログで、2020-08-08のBuster 10.3ポイントリリースでカーネルが4.19.87-1に更新予定と書きました。
Debian 10.3 Busterへのポイントリリース予定
https://ameblo.jp/miyou55mane/day-20191228.html
ところが、更に4.19.98-1への更新予定があり、35件もの脆弱性対策が反映されます。
4.19.87-1の30件と合わせると、実に65件もの脆弱性対策です。
Queue Overview for "proposed-updates"
https://release.debian.org/proposed-updates/stable.html
linux 4.19.98-1 ACCEPTED
Reason: new upstream stable release
CVEs referenced:
CVE-2019-10220 CVE-2019-12614 CVE-2019-14615 CVE-2019-14895 CVE-2019-14896
CVE-2019-14897 CVE-2019-14901 CVE-2019-15217 CVE-2019-18786 CVE-2019-18809
CVE-2019-19037 CVE-2019-19051 CVE-2019-19056 CVE-2019-19057 CVE-2019-19058
CVE-2019-19059 CVE-2019-19062 CVE-2019-19063 CVE-2019-19066 CVE-2019-19068
CVE-2019-19071 CVE-2019-19077 CVE-2019-19078 CVE-2019-19079 CVE-2019-19227
CVE-2019-19252 CVE-2019-19332 CVE-2019-19447 CVE-2019-19767 CVE-2019-19927
CVE-2019-19947 CVE-2019-19965 CVE-2019-20096 CVE-2019-5108 CVE-2019-9445
念の為、公開されているDebianのカーネル脆弱性対策状況を確認しました。
確かに、未対策が多数ありますね。次期安定版、Denian 11 Bulleseyeの方は対策が進んでいますね。。。
Information on source package linux
https://security-tracker.debian.org/tracker/source-package/linux
stretch (security) 4.9.189-3+deb9u2
buster (security) 4.19.67-2+deb10u2
bullseye 5.4.13-1
sid 5.4.13-1
OSの中核部のカーネルに、これ程大量のセキュリティーホール(脆弱性)が潜んでいるとは驚きです。
Linuxに限らず、Win、Mac/iOS、Androidなども同様でしょう。
ソフトにはバグがつきものなので、日々虫潰しに追われるのがOS、アプリの宿命でしょうか。
潰したと思っていてもゾンビ湧き