데비안 주간 뉴스 - 2001년 3월 14일

데비안 주간 뉴스, 데비안 공동체의 소식지.

데비안이 사용자들에게 패키지와 릴리스를 전달하는 방법이 보안적 관점에서 부족하다는 것은 수년 간 잘 알려져 왔다. 방금 다운로드한 패키지가 정말로 데비안 개발자에 의해 만들어졌는지, 정말로 현재 데비안 릴리스의 일부인지 알아내는 방법은 없었다. 이는 빠르게 달라지고 있고, 머지않아 사용자들이 합법한 패키지를 설치하고 있는지 확인하기 위한 두 가지 보완적 방법이 생길 것이다. 금주에 데비안 패키지의 서명을 체크하는 기능을 dpkg에 더하는 패치가 debian-dpkg 메일링 리스트에 게시되었다. 서명은 패키지 자체의 새 섹션에 담겨질 것이며, 그러한 서명을 더하고 체크하는 도구들이 현재 데비안에 들어오고 있다. 이런 유형의 패키지 사인하기는 오랫동안 rpm 세계에 존재해 온 비슷한 기술과 맞먹는 것이고, dpkg에 반가운 추가 기능이지만 그 유용성은 과장되어서는 안 된다.

사인된 패키지만으로는 아직도 공격을 받을 부분이 여러 남아 있다. 갖가지 나쁜 일이 Packages 파일에 행해질 수 있고, 혹은 apt에게 오래되고 불안전한 패키지를 다운로드하도록 속일 수 있다. 이러한 공격을 차단하는 일은 또 한 층의 보안, 즉 사인된 릴리스가 필요하다. release.gpg 파일들이 이미 아카이브에 나타나고 있고, apt는 머지않아 데비안 시스템을 업그레이드할 때 이 서명들을 확인할 수 있게 될 것이다. 최후 분석시 이 계획들은 어느 것도 완전한 보안을 보장하지 않지만 침해자들의 침입을 무척 더 어렵게 할 것이고, woody가 발표될 때쯤에는 두 가지 유형의 서명이 모두 널리 퍼질 것이다.

stable에 대한 업데이트인 데비안 버전 2.2r3에 대한 준비가 진행되고 있다. 대부분의 소단계 개정본에서와 같이 보안 문제나 저작권 문제나 아주 나쁜 버그를 갖는 패키지들은 이 릴리스에서 업데이트될 전망이다. 그것은 또한 2.4 커널과 호환하도록 만드는 업데이트를 포함할 지도 모르는데, 필요한 패키지들이 이미 모두 역이식되었기 때문이다. Martin Schulze는 새 릴리스를 감독하고 있고, 업데이트할 패키지 리스트는 에 있다.

데비안 프로젝트 지도자 선거가 몇 가지 잘못된 시작 이후로 진행 중이다. 개발자들은 를 받아 gpg로 사인하여 메일로 부칠 수 있다. 투표는 28일에 끝난다.

또 한번의 버그 퇴치 모임이 이번 주말에 열릴 계획이다. 릴리스 치명적 버그가 지난 모임 이후로 거의 350개 남아 있고 woody가 발표되기 전에 모두 고쳐야 할 필요가 있으므로 이번 주말에 여유 시간이 있는 사람들은 한두 버그를 고치는 데 도움을 주길 권한 다.

어떤 주는 끊임없는 보안 수정이 데비안에 쏟아져 들어온다. 이번 주는 그러한 주다. 이들 발표문 중 일부는 실제로 일찌기 고쳐졌으나 발표되지 않은 문제들에 대한 것들이지만, 많은 것은 새로운 보안 수정이다.

보안 팀은 금주에 그들의 모든 수고에 대해 많은 감사를 받을 만하다.


이 뉴스를 매주 받아 보려면, debian-news 메일링 리스트에 가입하세요.

Back issues of this newsletter are available.

This issue of Debian Weekly News was edited by Joey Hess.