バックポートってご存じですか？

こんにちは。技術部のKです。

今回はLinux系OSのソフトウェアのパッケージ体系のお話です。

皆さん、【バックポート】という概念をご存じでしょうか？

脆弱性診断結果にも関わることですので、知っておくと良いかと思います。

簡単に説明しますと、
【バックポート】というのは、ソフトウェアの新しいバージョンの機能やバグフィックスを、
古いバージョンに適用する、ことです。

Linux系OSは、例えばRedHat版であれば、RedHat社が独自にバージョン管理しており、
Apacheのバージョンを変えずに独自に修正を行っています。

Apacheを例に見ていきましょう。

Apacheの提供元であるApacheコミュニティでの最新リリースバージョンは【2.4.58】です。
※現時点でのリリースバージョンです。

https://httpd.apache.org/download.cgi

とあるRedHatサーバ(RedHat7系)でのApacheバージョンは【2.4.6-44】となっていました。
つまり、このRedHatサーバでのApacheは最新バージョンではなく古いバージョンということになります。

では、古いバージョンなので、セキュリティパッチ適用等の対策はされていないのでしょうか。

答えは、セキュリティパッチ適用等の対策はされています。

【CVE-2016-5387】という脆弱性を見ていきましょう。

https://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-003802.html

上のURLにある通り、2.4.23 まではこの脆弱性が存在する、と記載されています。

ですが、以下の通りにRedhatサーバではこの脆弱性対策のセキュリティ対策が適用されていることが確認できます。

# rpm -q –changelog httpd | grep “CVE-2016-5387”
– add security fix for CVE-2016-5387

このように、Apache含め各種RedHatに管理されているソフトウェアは、
単純にリリース番号だけを見れば古いバージョンに見えますが、
RedHat社でセキュリティ等の脆弱性を修正したバージョンをリリースしている、ということになります。

何が言いたいのかと言いますと、
上述の通り、脆弱性診断結果でバージョンが低い！と出ても、
実は対策済バージョンである場合もあるんです。

なにかお困りごとがありましたら弊社までご相談ください！

どうぞ今後ともネットアシストをよろしくお願い致します。