Debian は 12.6 リリースの延期を決定
Linux XZ Tarball のバックドア発見後、Debian の開発者は CVE の影響を徹底的に分析するために 12.6 リリースを一時停止することを決定しました。
間違いなく、数日前にバックドア化されたアップストリーム XZ tarball が Debian sid リポジトリに意図的に侵入され、認証なしでリモート SSH アクセスが可能になったことは、Linux コミュニティに大きな嵐を巻き起こしました。
このセキュリティ脆弱性 CVE-2024-3094 は、Debian sid に影響を与えるだけではありません。また、特定のバージョンの Fedora、Arch、openSUSE Tumbleweed、Kali など、他のいくつかの Linux ディストリビューションにも影響を与えました。
これを考慮して、Debian プロジェクトは、当初 4 月 6 日に予定されていた次期バージョン 12.6 のリリースの延期を発表しました。この決定は、チームが Debian アーカイブ (Debian の包括的なコレクション) に対する潜在的な影響の評価を含む徹底的な調査を行っている中で行われました。ソフトウェアパッケージ。
現時点では、Debian の安定バージョンがこの問題の影響を受けることを示唆する証拠はありませんが、この脆弱性がディストリビューションのアプリケーションとサービスの広大なエコシステムに影響を与えないようにすることが重要です。
セキュリティと安定性を優先することで知られる Debian が偶然に何も任せないことは驚くべきことではありません。その取り組みにより、Debian は信頼できるサーバー オペレーティング システムとして好ましい選択肢となります。
そのため、「Bookworm」12 シリーズの 6 番目のアップデートのリリースは、開発者が CVE-2024-3094 のあらゆる詳細を徹底的にチェックして、ユーザーに対する考えられるリスクがすべて完全に対処されるまで延期されます。現在、Debian プロジェクトは 12.6 リリースの新しい日付を設定していません。
このアプローチは、完全に準備ができた場合にのみアップデートをリリースするという通常の慣行によく適合します。
一方、XZ の主要開発者 2 人のうちの 1 人である Lasse Collin は、Jia Tan がすべてのバックドア パッケージを作成し、署名したことを強調する情報を投稿しました。現時点では、彼の行動の背後にある理由はまったく不明のままです。
いつものように、私たちは状況を注意深く監視しており、何か変化があれば随時更新していきます。