ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

Red Hat Enterprise Linuxの「Affected Packages State」の「Will not fix」の意味は?

Red Hat Linux脆弱性が発見されると英語のページで、どういった意味?ということがたまにあります。

 

例えば、以下のCVE-2015-6831の情報。

 

CVE-2015-6831 - Red Hat Customer Portal

 

Affected Packages State」の「State」に「Will not fix」とあります。

 

Affected Packages State

Platform Package State
Red Hat Enterprise Linux 7 php Will not fix
Red Hat Enterprise Linux 6 php Will not fix
Red Hat Enterprise Linux 5 php53 Will not fix
Red Hat Enterprise Linux 5 php Will not fix
Red Hat OpenShift Enterprise 2 php Will not fix

 

通常、アップデートが提供されると、affectedと表示されますが、これはどういった意味なんだろう?と思いますよね。

 

そして、英語のページですが、この意味について参考になる情報がありました。こちら。

access.redhat.com

 

 

該当の説明が書かれているのはこの部分。

 

This section of the page, entitled “Affected Packages State”, is a table that lists the affected platform, package, and a state. This state can be:

“Affected”: this package is affected by this flaw on this platform
“Not affected”: this package, which ships on this platform, is not affected by this flaw
“Fix deferred”: this package is affected by this flaw on this platform, and may be fixed in the future
“Under investigation”: it is currently unknown whether or not this flaw affects this package on this platform, and it is under investigation
“Will not fix”: this package is affected by this flaw on this platform, but there is currently no intention to fix it (this would primarily be for flaws that are of Low or Moderate impact that pose no significant risk to customers)

 

 “Will not fix”: this package is affected by this flaw on this platform, but there is currently no intention to fix it (this would primarily be for flaws that are of Low or Moderate impact that pose no significant risk to customers)

 

つまり、リスクが低いと判断して、修正する必要はないと判断しているという感じになります。

 

その為、このステータスの場合は、パッチは提供されません。本当に問題がないかどうはかや、影響については直接サポートに確認したほうがいいかもしれませんね。