Debian developerのやまねです。
私が管理する弊社サイトの一部ではWebサーバーとしてNginx(えんじんえっくす)を利用しています。
そして先日のこと、Nginxの脆弱性に対するリリースがありました。
2022-10-19nginx-1.22.1 stable and nginx-1.23.2 mainline versions have been released, with a fix for the memory corruption and memory disclosure vulnerabilities in the ngx_http_mp4_module (CVE-2022-41741, CVE-2022-41742).
では早速更新されたパッケージを適用しよう…としたのですが、何故か特定サーバーには対応するパッケージが降ってきません。
更新が来ないサーバーで利用しているOSはDebian10 “buster”、すでに最新のリリースではなく旧安定版となってはいるものの、LTS(Long Term Support)フェーズでまだまだサポートが続いています。そしてNginxパッケージはNginxが提供しているPre-Built Packagesを利用しているのですが、何故だろう…と念の為公式サイトを見てみると「あれ?サポート対象にDebian10の文字がない!?」。
#Debian11しかサポート対象として表示されていない
「そんな馬鹿な!前に見た際にはDebian10があったはず…??」と思い、みんな大好きInternet Archiveから過去のサイトを見てみると、2022年9月上旬の時点ではしっかりと「10.x “buster”」の文字が。
#Debian10とDebian11がサポート対象として明記されている
そして10月下旬では消失しているのがわかります。
ここ一ヶ月半の間に消えてしまった…なぜ??となるわけですが、下手の考え休むに似たり。
考えても仕方がないので誰か事情のわかる人に聞いてみよう…と公式の窓口を探しました。
私がパッと思いついたのは「パッケージメンテナのメールアドレス」です。
自分もDebianパッケージメンテナなのでパッケージにはメンテナ名とメールアドレスが表示されるのを覚えていたのです。
$ apt show nginxPackage: nginxVersion: 1.22.1-1~bullseyePriority: optionalSection: httpdMaintainer: NGINX Packaging <nginx-packaging@f5.com>Installed-Size: 3132 kBProvides: httpd, nginx, nginx-r1.22.1
(上記はDebian11上でのNginx公式パッケージの情報です)
このパッケージメンテナとして表示されているF5社のアドレスに向かってダメ元で「どうして?」と質問を投げました(なお、この際ですがちょっとした小細工として、自分がDebianの開発者であること(=@debian.orgなメールアドレスを持っている)をメールフッタなどで明示しておきました)。
「今日気づいたのですが、Debian10へのサポートが終了しているようですが、Debian10はLTSでまだサポートが続いています。何かサポートポリシーの変更などがありましたか?」
するとありがたいことに6時間後(!)に返信が帰ってきました。
「サポートポリシーは変わってません。ディストリビューションの公式サポートで”main”フェーズのものだけをサポートしています。DebianのLTSは公式のセキュリティチームがサポートしていない(別のLTSチームが担当している)ですよね?」
ふむふむ、なるほどロジックとしては筋が通っている。
終わり。
…ではなく、長くなりますがもう少し続きます(後編へ)。
