前回ブログで、2020-08-08のBuster 10.3ポイントリリースでカーネルが4.19.87-1に更新予定と書きました。

Debian 10.3 Busterへのポイントリリース予定

https://ameblo.jp/miyou55mane/day-20191228.html

 

ところが、更に4.19.98-1への更新予定があり、35件もの脆弱性対策が反映されます。

4.19.87-1の30件と合わせると、実に65件もの脆弱性対策です。

Queue Overview for "proposed-updates"

https://release.debian.org/proposed-updates/stable.html
linux    4.19.98-1            ACCEPTED
Reason: new upstream stable release
CVEs referenced: 
CVE-2019-10220 CVE-2019-12614 CVE-2019-14615 CVE-2019-14895 CVE-2019-14896 
CVE-2019-14897 CVE-2019-14901 CVE-2019-15217 CVE-2019-18786 CVE-2019-18809
CVE-2019-19037 CVE-2019-19051 CVE-2019-19056 CVE-2019-19057 CVE-2019-19058
CVE-2019-19059 CVE-2019-19062 CVE-2019-19063 CVE-2019-19066 CVE-2019-19068
CVE-2019-19071 CVE-2019-19077 CVE-2019-19078 CVE-2019-19079 CVE-2019-19227
CVE-2019-19252 CVE-2019-19332 CVE-2019-19447 CVE-2019-19767 CVE-2019-19927
CVE-2019-19947 CVE-2019-19965 CVE-2019-20096 CVE-2019-5108   CVE-2019-9445
 

念の為、公開されているDebianのカーネル脆弱性対策状況を確認しました。

確かに、未対策が多数ありますね。次期安定版、Denian 11 Bulleseyeの方は対策が進んでいますね。。。

Information on source package linux

https://security-tracker.debian.org/tracker/source-package/linux

stretch (security)    4.9.189-3+deb9u2

buster (security)    4.19.67-2+deb10u2

bullseye    5.4.13-1
sid    5.4.13-1

 

OSの中核部のカーネルに、これ程大量のセキュリティーホール(脆弱性)が潜んでいるとは驚きです。

Linuxに限らず、Win、Mac/iOS、Androidなども同様でしょう。

ソフトにはバグがつきものなので、日々虫潰しに追われるのがOS、アプリの宿命でしょうか。

 

潰したと思っていてもゾンビ湧き