Debian-Sicherheits-Audit-FAQ

Diese Seite listet einige häufig gestellte Fragen auf, die Leute vermutlich haben, wenn sie zum ersten Mal von diesem Projekt hören.

Was ist das Debian-Sicherheits-Audit-Projekt?

Das Debian-Sicherheits-Audit-Projekt ist ein kleines Projekt innerhalb von Debian, das es sich zum Ziel gesetzt hat, die in der Debian-Distribution enthaltenen Softwarepakete auf mögliche Sicherheitsmängel mittels Durchsicht des Quellcodes zu prüfen.

Die Überprüfung beschränkt sich derzeit auf die stabile Debian-Distribution und hält sich an die Paket-Priorisierungsrichtlinien.

Wann wurde das Debian-Sicherheits-Audit-Projekt gestartet?

Das erste Sicherheitsgutachten wurde im Dezember 2002 veröffentlicht, gefolgt von weiteren inoffiziellen Meldungen bis hin zur öffentlichen Anerkennung des Projektes durch den Debian-Projektleiter, Martin Michlmayr, im Mai 2004.

Welche Sicherheitsgutachten sind durch die Prüfungen entstanden?

Es wurden mehrere Gutachten in Folge der geleisteten Überprüfungen bekanntgemacht. All jene, die erschienen, bevor das Projekt offiziell anerkannt wurde, werden auf der Audit Advisories-Seite aufgelistet.

Man hofft, dass es in naher Zukunft möglich sein wird, die durch das Projekt veröffentlichten Meldungen aufzufinden, indem man die Debian-Sicherheitsmeldungen durchsucht und nach dem Stichwort Debian Security Audit Project recherchiert.

Steht sämtliche Audit-Arbeit in Bezug zu Gutachten?

Eigentlich nicht. Im Rahmen des Audit-Prozesses wurden viele Sicherheitsprobleme gefunden, die nicht direkt ausnutzbar waren (sie können jedoch zu einem Programmabsturz führen). Einige andere der von uns gefundenen ausnutzbaren Sicherheitsprobleme waren nicht in Debians offizieller Stable-Veröffentlichung, aber in der Testing- und in der Unstable-Veröffentlichung enthalten. Alle diese wurden mittels der Fehlerdatenbank von Debian berichtet (in einigen Fällen direkt an die ursprünglichen Autoren).

Wer hat zu dem Projekt beigetragen?

Steve Kemp ist der Gründer des Projektes, der auch für die Entstehung der Prozessabläufe und deren Test durch die Aufdeckung mehrerer Sicherheitslücken zuständig war.

Ulf Härnhammar trat dem Projekt während seiner Entstehungsphase bei und deckte mehrere Sicherheitsmängel auf, die mittlerweile behoben wurden. Kurz nachdem Ulf dem Projekt beigetreten war, folgten Swaraj Bontula und Javier Fernández-Sanguino, die ebenfalls mehrere schwerwiegende Sicherheitslücken aufdeckten.

David A. Wheeler trieb Steve Kemp dazu an, das Projekt als offizielles Debian-Teilprojekt zu etablieren, was durch das Engagement des Debian-Projektleiters Martin Michlmayr möglich wurde. David trug ebenfalls aktiv zu der Entstehung dieser Seiten bei.

Das Debian-Sicherheitsteam trug maßgeblich zur Veröffentlichung und Beseitigung der vom Projekt gefundenen Sicherheitsmängel bei.

Die folgenden Personen haben mindestens eine Sicherheitsankündigung im Namen des Projekts beigetragen:

Weitere Helfer sind immer willkommen!

Wie kann ich zum Projekt beitragen?

Durch das Überprüfen von Paketen auf Sicherheitsmängel, wenn Sie die entsprechenden Fähigkeiten sowie die Zeit dazu haben.

Die Prüfungsübersicht sollte einige Startpunkte zu diesem Vorhaben geben – weitere Fragen können über die debian-security Mailingliste gestellt werden.

Kann auf der Liste über spezielle Pakete diskutiert werden?

Es wäre von Vorteil, wenn Pakete, die aufgedeckte Sicherheitsprobleme beinhalten, nicht beim Namen genannt würden, bis ein DSA veröffentlicht wurde. Dies verhindert, dass Personen mit bösartigen Absichten diese Fehler ausnutzen, bevor sie beseitigt wurden.

Die Mailingliste kann dazu verwendet werden, Meinungen über Sourcecode einzuholen und darüber zu diskutieren, ob er mögliche Sicherheitsmängel beinhaltet und wie diese beseitigt werden können.

Wie kann ich als Paketbetreuer beitragen?

Paketbetreuer können helfen, indem sie die Sicherheit der Software, die sie betreuen, durch die Überprüfung des Quellcodes sicherstellen oder nach Hilfe fragen.

Siehe auch die Überprüfung durch Paketbetreuer-Übersicht.

Wie berichtet man ein entdecktes Problem?

Hierzu gibt es einen Abschnitt in der vom Debian-Sicherheitsteam erstellten FAQ, der diesen Prozess beschreibt: Debian-Sicherheits-FAQ.

Sind Pakete, in denen keine Mängel gefunden wurden, in einer Übersicht verfügbar?

Nein, eine Liste von Paketen, in denen während der Überprüfung keine Sicherheitsmängel aufgedeckt wurden, existiert nicht.

Dies ist zum Teil der Fall, da es mögliche Probleme geben kann, die eventuell übersehen wurden und teilweise auch, da die Überprüfungen durch mehrere Personen ohne ausreichende Koordination vorgenommen wurden.

Wo kann ich weitere Informationen finden?

Es gibt derzeit keine Mailingliste, die Sie abonnieren können, um Fragen zu stellen. Verwenden Sie stattdessen die debian-security Mailingliste.