Debian Sicherheitshinweise sind CVE-kompatibel

30. März 2004

Die Debian Sicherheitshinweise (DSA) sind auf der RSA-Konferenz 2004 in San Francisco am 24. Februar 2004 für CVE-kompatibel erklärt worden.

Der DSA-Service, bereitgestellt durch das Debian Sicherheitsteam, bietet seit 1997 Informationen über Sicherheitsverwundbarkeiten, die in Debian GNU/Linux Releases behoben wurden. Um mit dem Common Vulnerabilities and Exposures (CVE) Projekt zu kooperieren, das eine Standardisierung der Namen aller öffentlich bekannten Verwundbarkeiten erreichen will, haben alle neuen Sicherheitshinweise seit Juni 2002 die entsprechenden CVE-Namen beinhaltet. Debian hat sich im Mai 2003 offiziell für die CVE-Kompatibilität beworben.

Das Debian-Projekt glaubt, dass es sehr wichtig ist, Anwender mit zusätzlichen Informationen in Bezug auf Sicherheitsprobleme, die die Debian-Distribution betreffen, zu versorgen. Die Einbeziehung von CVE-Namen in Sicherheitshinweise hilft Nutzern, allgemeine Verwundbarkeiten spezifischen Debian-Sicherheitshinweisen und Debian-Aktualisierungen zuzuordnen, was die Zeit reduziert, die dafür aufgewendet werden muss, Verwundbarkeiten, die unsere Benutzer betreffen, zu behandeln.

Die Verfügbarkeit allgemeiner Sicherheitsangaben erleichtert außerdem das Sicherheitsmanagement in Umgebungen, in denen CVE-basierte Sicherheitswerkzeuge wie Netzwerk- oder Host-Intrusion Detection-Systeme oder Verwundbarkeitsbewertungstools schon zum Einsatz kommen, unabhängig davon, ob diese Debian-basiert sind oder nicht.

Das Debian-Projekt hat CVE-Namen zu allen Sicherheitshinweisen, die seit September 1998 herausgegeben wurden, hinzugefügt. Dies geschah in einem Überprüfungsprozess, der im August 2002 gestartet wurde. Alle Sicherheitshinweise können über die Debian-Webseite erreicht werden und alle Hinweise auf neue Verwundbarkeiten enthalten CVE-Namen, wenn diese zum Zeitpunkt der Veröffentlichung schon verfügbar sind. Hinweise, die mit einem bestimmten CVE-Namen in Verbindung stehen, können über unsere Suchmaschine gesucht werden.

Außerdem stellt Debian eine komplette Querverweistabelle bereit, die alle Referenzen einschließt, die für alle Hinweise seit 1997 verfügbar sind. Diese Tabelle soll die Referenzentabelle, die beim CVE verfügbar ist, ergänzen.

Die Debian-Entwickler verstehen den Bedarf nach genauen und aktuellen Informationen über den Sicherheitsstatus der Debian-Distribution, die es den Benutzern erlauben, die Risiken neuer Verwundbarkeiten zu handhaben. CVE-Namen ermöglichen es uns, standardisierte Verweise auf alle öffentlich bekannten Verwundbarkeiten und Sicherheitsgefährdungen bereitzustellen, die es den Benutzern erlauben, einen CVE-basierten Sicherheitsmanagement-Prozess zu entwickeln.