「セキュリティアドバイザリ」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(update Pkg/AUR templates)
(Pkg/AUR テンプレートの更新)
23行目: 23行目:
 
* [2016年12月13日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000790.html ASA-201612-13] {{pkg|python-html5lib}} クロスサイトスクリプティング
 
* [2016年12月13日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000790.html ASA-201612-13] {{pkg|python-html5lib}} クロスサイトスクリプティング
 
* [2016年12月13日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000789.html ASA-201612-12] {{pkg|python2-html5lib}} クロスサイトスクリプティング
 
* [2016年12月13日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000789.html ASA-201612-12] {{pkg|python2-html5lib}} クロスサイトスクリプティング
* [2016年12月10日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000787.html ASA-201612-11] {{pkg|linux-grsec}}{{Broken package link|{{aur-mirror|linux-grsec}}}} サービス拒否攻撃
+
* [2016年12月10日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000787.html ASA-201612-11] {{pkg|linux-grsec}}{{Broken package link|置換パッケージ: {{Pkg|linux-hardened}}}} サービス拒否攻撃
 
* [2016年12月10日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000786.html ASA-201612-10] {{pkg|linux}} サービス拒否攻撃
 
* [2016年12月10日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000786.html ASA-201612-10] {{pkg|linux}} サービス拒否攻撃
 
* [2016年12月06日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000785.html ASA-201612-9] {{pkg|jasper}} 複数の問題
 
* [2016年12月06日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000785.html ASA-201612-9] {{pkg|jasper}} 複数の問題
29行目: 29行目:
 
* [2016年12月06日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000783.html ASA-201612-7] {{pkg|linux-lts}} 権限昇格
 
* [2016年12月06日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000783.html ASA-201612-7] {{pkg|linux-lts}} 権限昇格
 
* [2016年12月06日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000782.html ASA-201612-6] {{pkg|linux}} 権限昇格
 
* [2016年12月06日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000782.html ASA-201612-6] {{pkg|linux}} 権限昇格
* [2016年12月06日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000781.html ASA-201612-5] {{pkg|linux-grsec}}{{Broken package link|{{aur-mirror|linux-grsec}}}} 権限昇格
+
* [2016年12月06日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000781.html ASA-201612-5] {{pkg|linux-grsec}}{{Broken package link|置換パッケージ: {{Pkg|linux-hardened}}}} 権限昇格
 
* [2016年12月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000780.html ASA-201612-4] {{pkg|libdwarf}} 複数の問題
 
* [2016年12月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000780.html ASA-201612-4] {{pkg|libdwarf}} 複数の問題
 
* [2016年12月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000779.html ASA-201612-3] {{pkg|chromium}} 複数の問題
 
* [2016年12月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-December/000779.html ASA-201612-3] {{pkg|chromium}} 複数の問題
43行目: 43行目:
 
* [2016年11月24日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000771.html ASA-201611-24] {{pkg|wireshark-qt}} 複数の問題
 
* [2016年11月24日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000771.html ASA-201611-24] {{pkg|wireshark-qt}} 複数の問題
 
* [2016年11月24日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000770.html ASA-201611-23] {{pkg|wireshark-gtk}} 複数の問題
 
* [2016年11月24日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000770.html ASA-201611-23] {{pkg|wireshark-gtk}} 複数の問題
* [2016年11月23日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000769.html ASA-201611-22] {{pkg|tomcat6}}{{Broken package link|package not found}} 複数の問題
+
* [2016年11月23日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000769.html ASA-201611-22] {{pkg|tomcat6}}{{Broken package link|パッケージが存在しません}} 複数の問題
 
* [2016年11月21日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000768.html ASA-201611-21] {{pkg|slock}} アクセス制限の回避
 
* [2016年11月21日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000768.html ASA-201611-21] {{pkg|slock}} アクセス制限の回避
 
* [2016年11月19日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000767.html ASA-201611-20] {{pkg|drupal}} 複数の問題
 
* [2016年11月19日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000767.html ASA-201611-20] {{pkg|drupal}} 複数の問題
59行目: 59行目:
 
* [2016年11月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000755.html ASA-201611-8] {{pkg|libcurl-compat}} 複数の問題
 
* [2016年11月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000755.html ASA-201611-8] {{pkg|libcurl-compat}} 複数の問題
 
* [2016年11月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000754.html ASA-201611-7] {{pkg|curl}} 複数の問題
 
* [2016年11月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000754.html ASA-201611-7] {{pkg|curl}} 複数の問題
* [2016年11月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000753.html ASA-201611-6] {{pkg|tomcat6}}{{Broken package link|package not found}} プロキシインジェクション
+
* [2016年11月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000753.html ASA-201611-6] {{pkg|tomcat6}}{{Broken package link|パッケージが存在しません}} プロキシインジェクション
 
* [2016年11月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000752.html ASA-201611-5] {{pkg|lib32-libcurl-compat}} 複数の問題
 
* [2016年11月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000752.html ASA-201611-5] {{pkg|lib32-libcurl-compat}} 複数の問題
 
* [2016年11月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000751.html ASA-201611-4] {{pkg|lib32-curl}} 複数の問題
 
* [2016年11月02日] [https://lists.archlinux.org/pipermail/arch-security/2016-November/000751.html ASA-201611-4] {{pkg|lib32-curl}} 複数の問題
70行目: 70行目:
 
* [2016年10月26日] [https://lists.archlinux.org/pipermail/arch-security/2016-October/000746.html ASA-201610-18] {{pkg|flashplugin}} 任意コード実行
 
* [2016年10月26日] [https://lists.archlinux.org/pipermail/arch-security/2016-October/000746.html ASA-201610-18] {{pkg|flashplugin}} 任意コード実行
 
* [2016年10月24日] [https://lists.archlinux.org/pipermail/arch-security/2016-October/000745.html ASA-201610-17] {{pkg|ocaml}} 情報漏洩
 
* [2016年10月24日] [https://lists.archlinux.org/pipermail/arch-security/2016-October/000745.html ASA-201610-17] {{pkg|ocaml}} 情報漏洩
* [2016年10月24日] [https://lists.archlinux.org/pipermail/arch-security/2016-October/000744.html ASA-201610-16] {{pkg|linux-grsec}}{{Broken package link|{{aur-mirror|linux-grsec}}}} 権限昇格
+
* [2016年10月24日] [https://lists.archlinux.org/pipermail/arch-security/2016-October/000744.html ASA-201610-16] {{pkg|linux-grsec}}{{Broken package link|置換パッケージ: {{Pkg|linux-hardened}}}} 権限昇格
 
* [2016年10月23日] [https://lists.archlinux.org/pipermail/arch-security/2016-October/000743.html ASA-201610-15] {{pkg|chromium}} 複数の問題
 
* [2016年10月23日] [https://lists.archlinux.org/pipermail/arch-security/2016-October/000743.html ASA-201610-15] {{pkg|chromium}} 複数の問題
 
* [2016年10月22日] [https://lists.archlinux.org/pipermail/arch-security/2016-October/000742.html ASA-201610-14] {{pkg|linux}} 権限昇格
 
* [2016年10月22日] [https://lists.archlinux.org/pipermail/arch-security/2016-October/000742.html ASA-201610-14] {{pkg|linux}} 権限昇格
131行目: 131行目:
 
* [2016年08月17日] [https://lists.archlinux.org/pipermail/arch-security/2016-August/000689.html ASA-201608-15] {{pkg|linux-zen}} 情報漏洩
 
* [2016年08月17日] [https://lists.archlinux.org/pipermail/arch-security/2016-August/000689.html ASA-201608-15] {{pkg|linux-zen}} 情報漏洩
 
* [2016年08月14日] [https://lists.archlinux.org/pipermail/arch-security/2016-August/000688.html ASA-201608-14] {{pkg|postgresql}} 複数の問題
 
* [2016年08月14日] [https://lists.archlinux.org/pipermail/arch-security/2016-August/000688.html ASA-201608-14] {{pkg|postgresql}} 複数の問題
* [2016年08月14日] [https://lists.archlinux.org/pipermail/arch-security/2016-August/000687.html ASA-201608-13] {{pkg|linux-grsec}}{{Broken package link|{{aur-mirror|linux-grsec}}}} 情報漏洩
+
* [2016年08月14日] [https://lists.archlinux.org/pipermail/arch-security/2016-August/000687.html ASA-201608-13] {{pkg|linux-grsec}}{{Broken package link|置換パッケージ: {{Pkg|linux-hardened}}}} 情報漏洩
 
* [2016年08月14日] [https://lists.archlinux.org/pipermail/arch-security/2016-August/000686.html ASA-201608-12] {{pkg|linux}} 情報漏洩
 
* [2016年08月14日] [https://lists.archlinux.org/pipermail/arch-security/2016-August/000686.html ASA-201608-12] {{pkg|linux}} 情報漏洩
 
* [2016年08月11日] [https://lists.archlinux.org/pipermail/arch-security/2016-August/000685.html ASA-201608-11] {{pkg|websvn}} クロスサイトスクリプティング
 
* [2016年08月11日] [https://lists.archlinux.org/pipermail/arch-security/2016-August/000685.html ASA-201608-11] {{pkg|websvn}} クロスサイトスクリプティング
411行目: 411行目:
 
* [2015年08月26日] [https://lists.archlinux.org/pipermail/arch-security/2015-August/000388.html ASA-201508-11] {{pkg|pcre}} 任意コード実行
 
* [2015年08月26日] [https://lists.archlinux.org/pipermail/arch-security/2015-August/000388.html ASA-201508-11] {{pkg|pcre}} 任意コード実行
 
* [2015年08月26日] [https://lists.archlinux.org/pipermail/arch-security/2015-August/000387.html ASA-201508-10] {{pkg|jasper}} サービス拒否攻撃
 
* [2015年08月26日] [https://lists.archlinux.org/pipermail/arch-security/2015-August/000387.html ASA-201508-10] {{pkg|jasper}} サービス拒否攻撃
* [2015年08月25日] [https://lists.archlinux.org/pipermail/arch-security/2015-August/000386.html ASA-201508-9] {{pkg|django}}{{Broken package link|replaced by {{Pkg|python2-django}}}} サービス拒否攻撃
+
* [2015年08月25日] [https://lists.archlinux.org/pipermail/arch-security/2015-August/000386.html ASA-201508-9] {{pkg|django}}{{Broken package link|置換パッケージ: {{Pkg|python2-django}}}} サービス拒否攻撃
 
* [2015年08月25日] [https://lists.archlinux.org/pipermail/arch-security/2015-August/000385.html ASA-201508-8] {{pkg|gnutls}} サービス拒否攻撃
 
* [2015年08月25日] [https://lists.archlinux.org/pipermail/arch-security/2015-August/000385.html ASA-201508-8] {{pkg|gnutls}} サービス拒否攻撃
 
* [2015年08月16日] [https://lists.archlinux.org/pipermail/arch-security/2015-August/000384.html ASA-201508-7] {{pkg|glibc}} サービス拒否
 
* [2015年08月16日] [https://lists.archlinux.org/pipermail/arch-security/2015-August/000384.html ASA-201508-7] {{pkg|glibc}} サービス拒否
455行目: 455行目:
 
=== 2015年05月 ===
 
=== 2015年05月 ===
 
* [2015年05月28日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000341.html ASA-201505-20] {{pkg|curl}} 情報漏洩
 
* [2015年05月28日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000341.html ASA-201505-20] {{pkg|curl}} 情報漏洩
* [2015年05月26日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000340.html ASA-201505-19] {{pkg|webkitgtk2}} 中間者攻撃
+
* [2015年05月26日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000340.html ASA-201505-19] {{AUR|webkitgtk2}} 中間者攻撃
* [2015年05月26日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000339.html ASA-201505-18] {{pkg|webkitgtk}} 中間者攻撃
+
* [2015年05月26日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000339.html ASA-201505-18] {{AUR|webkitgtk}} 中間者攻撃
 
* [2015年05月26日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000338.html ASA-201505-17] {{pkg|postgresql}} 複数の問題
 
* [2015年05月26日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000338.html ASA-201505-17] {{pkg|postgresql}} 複数の問題
 
* [2015年05月26日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000337.html ASA-201505-16] {{pkg|pgbouncer}} サービス拒否
 
* [2015年05月26日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000337.html ASA-201505-16] {{pkg|pgbouncer}} サービス拒否
466行目: 466行目:
 
* [2015年05月14日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000329.html ASA-201505-10] {{pkg|wireshark-cli}} 複数の問題
 
* [2015年05月14日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000329.html ASA-201505-10] {{pkg|wireshark-cli}} 複数の問題
 
* [2015年05月14日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000328.html ASA-201505-9] {{pkg|qemu}} 任意コード実行
 
* [2015年05月14日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000328.html ASA-201505-9] {{pkg|qemu}} 任意コード実行
* [2015年05月13日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000321.html ASA-201505-8] {{pkg|tomcat6}}{{Broken package link|package not found}} サービス拒否
+
* [2015年05月13日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000321.html ASA-201505-8] {{pkg|tomcat6}}{{Broken package link|パッケージが存在しません}} サービス拒否
 
* [2015年05月13日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000320.html ASA-201505-7] {{pkg|firefox}} 複数の問題
 
* [2015年05月13日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000320.html ASA-201505-7] {{pkg|firefox}} 複数の問題
 
* [2015年05月08日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000319.html ASA-201505-6] {{pkg|docker}} 複数の問題
 
* [2015年05月08日] [https://lists.archlinux.org/pipermail/arch-security/2015-May/000319.html ASA-201505-6] {{pkg|docker}} 複数の問題
533行目: 533行目:
 
* [2015年03月05日] [https://lists.archlinux.org/pipermail/arch-security/2015-March/000245.html ASA-201503-5] {{pkg|chromium}} 複数の問題
 
* [2015年03月05日] [https://lists.archlinux.org/pipermail/arch-security/2015-March/000245.html ASA-201503-5] {{pkg|chromium}} 複数の問題
 
* [2015年03月05日] [https://lists.archlinux.org/pipermail/arch-security/2015-March/000244.html ASA-201503-4] {{pkg|grep}} サービス拒否
 
* [2015年03月05日] [https://lists.archlinux.org/pipermail/arch-security/2015-March/000244.html ASA-201503-4] {{pkg|grep}} サービス拒否
* [2015年03月02日] [https://lists.archlinux.org/pipermail/arch-security/2015-March/000243.html ASA-201503-3] {{pkg|lib32-elfutils}}{{Broken package link|replaced by {{Pkg|lib32-libelf}}}} ディレクトリトラバーサル
+
* [2015年03月02日] [https://lists.archlinux.org/pipermail/arch-security/2015-March/000243.html ASA-201503-3] {{pkg|lib32-elfutils}}{{Broken package link|置換パッケージ: {{Pkg|lib32-libelf}}}} ディレクトリトラバーサル
 
* [2015年03月02日] [https://lists.archlinux.org/pipermail/arch-security/2015-March/000242.html ASA-201503-2] {{pkg|elfutils}} ディレクトリトラバーサル
 
* [2015年03月02日] [https://lists.archlinux.org/pipermail/arch-security/2015-March/000242.html ASA-201503-2] {{pkg|elfutils}} ディレクトリトラバーサル
 
* [2015年03月02日] [https://lists.archlinux.org/pipermail/arch-security/2015-March/000241.html ASA-201503-1] {{pkg|putty}} 情報漏洩
 
* [2015年03月02日] [https://lists.archlinux.org/pipermail/arch-security/2015-March/000241.html ASA-201503-1] {{pkg|putty}} 情報漏洩
566行目: 566行目:
 
* [2015年01月23日] [https://lists.archlinux.org/pipermail/arch-security/2015-January/000211.html ASA-201501-15] {{pkg|jre8-openjdk}} 複数の問題
 
* [2015年01月23日] [https://lists.archlinux.org/pipermail/arch-security/2015-January/000211.html ASA-201501-15] {{pkg|jre8-openjdk}} 複数の問題
 
* [2015年01月23日] [https://lists.archlinux.org/pipermail/arch-security/2015-January/000210.html ASA-201501-14] {{pkg|jdk8-openjdk}} 複数の問題
 
* [2015年01月23日] [https://lists.archlinux.org/pipermail/arch-security/2015-January/000210.html ASA-201501-14] {{pkg|jdk8-openjdk}} 複数の問題
* [2015年01月20日] [https://lists.archlinux.org/pipermail/arch-security/2015-January/000209.html ASA-201501-13] {{pkg|polarssl}}{{Broken package link|replaced by {{Pkg|mbedtls}}}} リモートコード実行
+
* [2015年01月20日] [https://lists.archlinux.org/pipermail/arch-security/2015-January/000209.html ASA-201501-13] {{pkg|polarssl}}{{Broken package link|置換パッケージ: {{Pkg|mbedtls}}}} リモートコード実行
 
* [2015年01月19日] [https://lists.archlinux.org/pipermail/arch-security/2015-January/000208.html ASA-201501-12] {{pkg|libssh}} サービス拒否
 
* [2015年01月19日] [https://lists.archlinux.org/pipermail/arch-security/2015-January/000208.html ASA-201501-12] {{pkg|libssh}} サービス拒否
 
* [2015年01月19日] [https://lists.archlinux.org/pipermail/arch-security/2015-January/000207.html ASA-201501-11] {{pkg|tinyproxy}} サービス拒否
 
* [2015年01月19日] [https://lists.archlinux.org/pipermail/arch-security/2015-January/000207.html ASA-201501-11] {{pkg|tinyproxy}} サービス拒否
636行目: 636行目:
 
* [2014年11月10日] [https://lists.archlinux.org/pipermail/arch-security/2014-November/000131.html ASA-201411-6] {{AUR|kdebase-workspace}} ローカル権限昇格
 
* [2014年11月10日] [https://lists.archlinux.org/pipermail/arch-security/2014-November/000131.html ASA-201411-6] {{AUR|kdebase-workspace}} ローカル権限昇格
 
* [2014年11月09日] [https://lists.archlinux.org/pipermail/arch-security/2014-November/000130.html ASA-201411-5] {{pkg|konversation}} サービス拒否
 
* [2014年11月09日] [https://lists.archlinux.org/pipermail/arch-security/2014-November/000130.html ASA-201411-5] {{pkg|konversation}} サービス拒否
* [2014年11月06日] [https://lists.archlinux.org/pipermail/arch-security/2014-November/000129.html ASA-201411-4] {{pkg|polarssl}}{{Broken package link|replaced by {{Pkg|mbedtls}}}} 複数の問題
+
* [2014年11月06日] [https://lists.archlinux.org/pipermail/arch-security/2014-November/000129.html ASA-201411-4] {{pkg|polarssl}}{{Broken package link|置換パッケージ: {{Pkg|mbedtls}}}} 複数の問題
 
* [2014年11月05日] [https://lists.archlinux.org/pipermail/arch-security/2014-November/000128.html ASA-201411-3] {{AUR|mantisbt}} sql インジェクション
 
* [2014年11月05日] [https://lists.archlinux.org/pipermail/arch-security/2014-November/000128.html ASA-201411-3] {{AUR|mantisbt}} sql インジェクション
 
* [2014年11月03日] [https://lists.archlinux.org/pipermail/arch-security/2014-November/000127.html ASA-201411-2] {{pkg|aircrack-ng}} 複数の脆弱性
 
* [2014年11月03日] [https://lists.archlinux.org/pipermail/arch-security/2014-November/000127.html ASA-201411-2] {{pkg|aircrack-ng}} 複数の脆弱性

2017年7月13日 (木) 00:11時点における版

関連記事

セキュリティアドバイザリはコミュニティによって運営されている Arch CVE Monitoring Team によって arch-security メーリングリストで発行されています。公開されたアドバイザリは全て下に記載しています。最新のアドバイザリを受け取りたい時は arch-security を講読することを推奨します。関連する CVE の情報は ACMT によって CVE のページでまとめられています。

計画されているアドバイザリ

最近のアドバイザリ

以下は arch-security メーリングリストに投稿されたセキュリティアドバイザリのアーカイブです。

2016年12月

2016年11月

2016年10月

2016年09月

2016年08月

2016年07月

2016年06月

2016年05月

2016年04月

2016年03月

2016年02月

2016年01月

2015年12月

2015年11月

2015年10月

2015年09月

2015年08月

2015年07月

2015年06月

2015年05月

2015年04月

2015年03月

2015年02月

2015年01月

2014年12月

2014年11月

2014年10月

2014年09月

新しいアドバイザリの公開

アドバイザリを発行する前に該当するパッケージで脆弱性が修正されるのを待機するようにしています。非常に危険性が高い脆弱性の場合、対処方法が存在する場合にのみ、パッケージが修正される前にアドバイザリを発行することがあります。

新しいアドバイザリを公開したいときは、以下をチェックしてください:

  • 該当する Arch Linux パッケージに本当に脆弱性が存在すること。
  • Procedure が完了されていること。
  • まだ問題の脆弱性の Arch Linux セキュリティアドバイザリが公開されていないこと。
  • このページの"計画されているアドバイザリ"のリストに問題の脆弱性のセキュリティアドバイザリが存在しないこと、存在する場合、誰かが既にアドバイザリに手をつけています。
  • パッケージの ouf-of-date フラグか (上流で問題の修正がリリースされている場合)、あるいは bug-tracker のエントリによってパッケージのメンテナに通知されていること (実際の作業はこちらを参照)。

新しいアドバイザリを作成する手順:

  • このページの"計画されているアドバイザリ"のリストに行を追加して、アドバイザリを発行することを予め公知してください。
  • 以下のテンプレートを使ってアドバイザリを記述します。
  • アドバイザリを arch-security メーリングリストに送信します (PGP で署名されたメールの方が好ましいですが、必須ではありません)。
  • 発行したアドバイザリを"計画されているアドバイザリ"から"最近のアドバイザリ"に移動します。
  • 修正されたパッケージを CVE のページに追加して適当な ASA へのリンクを追加してください。

テンプレート

Subject:
[ASA-<YYYYMM-N>] <Package>: <Vulnerability Type>

Body:
Arch Linux Security Advisory ASA-YYYYMM-N
=========================================

Severity: Low, Medium, High, Critical
Date    : YYYY-MM-DD
CVE-ID  : <CVE-ID>
Package : <package>
Type    : <Vulnerability Type>
Remote  : <Yes/No>
Link    : https://wiki.archlinux.org/index.php/CVE

Summary
=======

The package <package> before version <Arch Linux fixed version> is vulnerable to <Vulnerability type>.

Resolution
==========

Upgrade to <Arch Linux fixed version>.

# pacman -Syu "<package>>=<Arch Linux fixed version>"

The problem has been fixed upstream in version <upstream fixed version>.

Workaround
==========

<Is there a way to mitigate this vulnerability without upgrading?>

Description
===========

<Long description, for example from original advisory>.

Impact
======

<
What is it that an attacker can do? Does this need existing
pre-conditions to be exploited (valid credentials, physical access)?
Is this remotely exploitable?
>.

References
==========

<CVE-Link>
<Upstream report>
<Arch Linux Bug-Tracker>

Vim-Snippet

Vim-Snippet は archlinux のテンプレートを簡単に入力するための vim-ultisnips のプラグインです。vim-ultisnips をインストールして以下のテキストを ~/.vim/UltiSnips/all.snippets にコピーしてください。CTRL+j でジャンプできます。

snippet archsec "arch security form"                                                                                   
Arch Linux Security Advisory ASA-`date -I -u | egrep -o '[0-9]{4}'``date -I -u | egrep -o '[0-9]{2}' | sed '3q;d'`-${1}
========================================${1/./=/g}                                                                     

Severity: ${2}                                                                                                         
Date    : `date -I -u`                                                                                                 
CVE-ID  : $3                                                                                                           
Package : $4                                                                                                           
Type    : $5
Remote  : ${6}                                                                                                         
Link    : https://wiki.archlinux.org/index.php/CVE                                                                     
                                                                                                                       
Summary
=======
                                                                                                                       
The package $4 before version $7 is vulnerable to $5 ${8}                                                              
                                                                                                                       
Resolution
==========
                                                                                                                       
Upgrade to $7.
                                                                                                                       
# pacman -Syu "$4>=$7"                                                                                                 
                                                                                                                       
${9:The problems have been fixed upstream in version ${7/-\d+$/./}}                                                    
                                                                                                                       
Workaround
==========                                                                                                             
                                                                                                                       
${10:None.}                                                                                                            

Description                                                                                                            
===========                                                                                                            

${3/(CVE-....-....)(\s?)/- $1(?2: : )()\n\n/g}                                                                         

Impact
======                                                                                                                 

A${6/(Yes)|(No)/(?1: remote )(?2: local )/}attacker is able to ${12}                                                   

References
==========                                                                                                             
                                                                                                                       
${3/(CVE-....-....)(\s?)/https:\/\/access.redhat.com\/security\/cve\/$1\n/g}
${13}
endsnippet