NetBSDがOpenBSD由来のファイアーウォールを廃止。理由はNetBSD側のメンテナンス不足。
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
情報元へのリンク
NetBSDのメーリングリストで"Removing PF"と題する衝撃的な投稿がなされた。 この投稿によると、「PFを取り除くことについて内部で議論がなされた。」とあり、 「現在、NetBSDのPFは11歳で、メンテナンスを受けておらず、NetBSDではなく 上流で修正されたバグや脆弱性が累積した状態にある。」とのこと…。 「最新の例は、直近で発見されたPFの脆弱性は2つあり、これらの脆弱性は、 興味がないため、NetBSDのPFでは修正されていません。」とある。 OpenBSDのセキュリティの高さは、オペレーティングシステム界で屈指であり、 関連するソフトウェアとしてはOpenSSHや「ハートブリード脆弱性」を解消した OpenSSL代替の暗号化ソフトLibreSSL等、Unix系オペレーティングシステム他 LinuxやWindows等、OpenBSDが開発したソフトウェアの多くが用いられている。 本ファイアーウォールソフト"PF"もその一つではあるが、PFを廃止する理由が、 NetBSD側の「OpenBSDでなされたPFに関するバグフィックス」の不適用という メンテナンス体制の問題によるものであるところが、最大の問題点と言える。 通常、メンテナンス上「ソフトウェアのバグや脆弱性」というものは、上流である 「開発元がメンテナンスを放置または放棄する」ことで「セキュリティリスク」が 累積し、下流にあたる「利用者が離れていく」というのが一般的な流れである。 しかしながら、「開発元のメンテナンス不足」では無く「利用者のバグフィックスの 不適用」が理由で「有益なソフトウェアの廃止」がなされることは、実に稀であり、 まして、「ネットワークセキュリティ」という、OSにとっては最も重要となる部位で 自らの「メンテナンス体制」の問題を事由に廃止されることは、稀有と言える。 この点、「pf 消すとか頭おかしい。むしろ他のやつ消してちゃんとメンテすべき。」 との意見が国内でもなされるなど、通信技術やOS・セキュリティ関連の専門家の間でも 波紋が広がっている。(引用元:https://yasuoka.net/~yasuoka/hack-2019.html) 既に*BSD界隈の衰退については、予てより指摘されているが、今回のNetBSDの対応は それを差し置いても、「異常」と言える「事態」を指し示している。 (原文)http://mail-index.netbsd.org/tech-kern/2019/03/29/msg024883.html There have been internal discussions about removing PF from NetBSD. Currently, NetBSD's PF is 11 years old, has received no maintenance, and has accumulated bugs and vulnerabilities that were fixed upstream but not in NetBSD. The latest examples are two vulnerabilities recently discovered in PF, that haven't been fixed in NetBSD's PF by lack of interest.
情報元へのリンク