Debian 12.6ポイントリリースの延期

当初、2024-04-06に予定されていたDebian 12.6(bookworm)ポイントリリースが延期となっています。

release.debian.org

Next point releases
stable (12.6) Delayed (was 2024-04-06)

理由は、XZデータ圧縮関係の深刻な脆弱性(CVE-2024-3094)に起因するもので、多くのLinuxが影響受ける由。

徹底的に検証作業を行うため、12.6のポイントリリースを延期したもの。

Debian Decided to Postpone the 12.6 ReleaseAfter Linux XZ Tarball's backdoor discovery, Debian's devs decided to pause the 12.6 release for an in-depth analysis of CVE effects.

linuxiac.com

This security vulnerability, CVE-2024-3094, didn’t just affect Debian sid.

It also impacted several other Linux distributions, including certain versions of Fedora, Arch, openSUSE Tumbleweed, Kali, and more.

こちらに日本語解説があり。

[2024-04-12 JST 更新] 脅威に関する情報: 複数の Linux ディストリビューションに影響を与える XZ Utils データ圧縮ライブラリーの脆弱性 (CVE-2024-3094)XZ Utiles に見つかった CVE-2024-3094 のサプライチェーン侵害によるバックドアの脆弱性について概要、緩和策、弊社製品による対応をまとめました。

unit42.paloaltonetworks.jp

Debianの各バージョンの、最新対策状況を確認結果、いずれも影響無し or 対策済みでした。

CVE-2024-3094

security-tracker.debian.org

Package Type Release Fixed Version

xz-utils   source   buster   (not affected)
xz-utils   source   bullseye   (not affected)
xz-utils   source   bookworm   (not affected)
xz-utils   source   (unstable)   5.6.1+really5.4.5-1

従って、近々Debian 12.6のポイントリリース日が発表あるでしょう。

それにしても、どのアプリもバージョンアップの度に脆弱性がでてきますね。

ブラウザのChromeも脆弱性対策アップデートが頻繁にあります。

新機能入れたら虫が隙間から

見よう見まねのブログ

CameraやPCなど、見よう見まねの悪戦苦闘

Debian 12.6ポイントリリースの延期