FreeBSD: vnc-4.1.3_10: Tag: expiration_date Value: 2016-09-01

少し前に気が付いたのですが、FreeBSD サーバーのデイリーレポートに、

Checking for packages with security vulnerabilities: 
vnc-4.1.3_10: Tag: expiration_date Value: 2016-09-01 
vnc-4.1.3_10: Tag: expiration_date Value: 2016-09-01

と出力されていることに気が付きました。FreeBSD 9.3 のマシンにしかVNCを入れていないので、他のバージョンでも出力されるのかどうかは未確認です。

メッセージをそのまま解釈すると、vnc-4.1.3 に 2016/09/01 で何らかの期限切れタグが付いている ということで、何らかの問題を含んでいるということなんですが、/usr/ports/UPDATING には VNCに関して何の情報もありません。

インストール済みファイルに何か古くなってしまったものがあるのかと、とりあえず、pkg delete vnc で一度vncパッケージを消して、pkg install vnc で再インストールしてみたのですが、ビルド済みvnc も同様の状況のようです。

[1/1] Installing vnc-4.1.3_10...
[1/1] Extracting vnc-4.1.3_10: 100%
Message from vnc-4.1.3_10:
===>   NOTICE:

This port is deprecated; you may wish to reconsider installing it:

Distfiles no longer available..

It is scheduled to be removed on or after 2016-09-01.

どうも、ソースコードやバイナリ配布関係の変更があるようです。

検索しても大した情報がないので、realvnc のホームページを確認して、download リンクをチェックしてみたところ、2016/11/13 時点でVNC の最新版は 6.0 で最も古いバージョンが 5.0 と記されていました。
これに対して、FreeBSDの配布パッケージは 4.1.3 なので更に古い!

勝手に推測するところ、realvnc が vnc 4.1.3 のサポートと配布をやめてしまったということのようです。
当然、今後のメンテナンスは無いので、使い続けるかどうかは考えた方がいいというのが、上記太字部分が示すことと推測します。ソフトウエアの脆弱性が見つかった為のメッセージ というわけでは無さそうなので、現時点ではあまり気にする必要は無さそうです。というか、ちゃんとした情報をUPDATINGに出してくれ〜。

VNCの用途として、大学のような公のネットワークに直に接続されている環境と自宅をVNC接続するような場合や接続の何処かに無線LANが入り盗聴可能な環境では、パケットを大量にキャプチャして形跡することにより暗号化されたコネクションも破られてしまう可能性があるので、VNC 4.1.3 の使用を慎重に行った方が良いのかも知れません。しかし、(自宅内や同一組織内で)席の移動が面倒だったり、モニター数が限られるためのリモート接続で使用している場合はあまり気にする必要はないでしょうね。

2016/11/17 追記

気が付けば、/usr/ports/net/vnc が消えていました。

vnc-4.1.3_10 ? orphaned: net/vnc

他の vnc を使用せよということなんでしょう。

コメントを残す