Huomaa: Alkuperäinen sivu on tätä suomennosta uudempi.

CVE-yhteensopiva Debian ja CVE-yhteensopivuus

Debian-kehittäjät ymmärtävät tarpeen tarkalle ja ajantasaiselle Debian-jakelun tietoturvatilanteelle, jonka avulla käyttäjät voivat hallinnoida uusiin tietoturva-alttiuksiin liittyviä riskejä. Yleiset alttiudet ja tietoturvareiät -projekti (CVE) mahdollistaa standardoitujen viitteiden tarjoamisen, joka mahdollistaa käyttäjille CVE-kykyisen tietoturvan hallintaprosessin kehittämisen. CVE tarjoaa luettelon standardoiduista nimistä alttiuksille ja tietoturvarei'ille.

Debian-projektin mielestä on erittäin tärkeää tarjota käyttäjille lisätietoa Debian-jakelua koskevissa tietoturva-asioissa. CVE-nimien sisällyttäminen tiedotteisiin auttaa käyttäjiä yhdistämään yleiset alttiudet Debian-kohtaisiin päivityksiin. Tämä vähentää käyttäjiimme vaikuttavien alttiuksien käsittelyyn kuluvaa aikaa.

Yleisten tietoturvaviitteiden saatavuus helpottaa tietoturvan hallintaa ympäristöissä, joissa on CVE-kykyisiä tietoturvatyökaluja, kuten verkkoon tai koneeseen tunkeutumisen tunnistusjärjestelmiä tai alttiuksien arviointityökaluja, jotka on jo otettu käyttöön huomioimatta sitä, pohjautuvatko ne vai eivät Debian-jakeluun.

Debian-projekti on lisännyt CVE-nimet kaikkiin syyskuun 1998 jälkeisiin tietoturvatiedotteisiinsa (DSA) tarkastusprosessissa, joka alkoi elokuussa 2002. Kaikki tiedotteet ovat saatavilla Debianin www-sivulla ja uusiin alttiuksiin liittyvät julkaisut sisältävät myös CVE-nimet jos sellaisia on saatavilla julkistamishetkellä.

Debianin tietoturvan seurantapalvelin sisältää CVE-nimistä, vastaavista Debian-paketeista, Debianin tietoturvatiedotteista ja vikanumeroista koostuvan luettelon. Luettelosta voi hakea tietoja paketin nimen tai DSA/CVE-nimen perusteella. Tietokantaan on kerätty tietoja Debian Woodyn julkaisusta lähtien.

Yleisiä kysymyksiä CVE-tilanteesta

  1. Mikä on tämän hetkinen Debianin tilanne CVE-prosessissa?
  2. Miksi en löydä tiettyä CVE-nimeä?
  3. Mistä löydän lisää tietoa?

K: Mikä on tämän hetkinen Debianin tilanne CVE-prosessissa?

Debianin tietoturvatiedotteet on ilmoitettu CVE-yhteensopiviksi helmikuun 24., 2004. Lisätietoa on saatavilla CVE-sivustolta, mukaanlukien soveltuvuuden kyselykaavake.

K: Miksi en löydä tiettyä CVE-nimeä?

Seurantapalvelimelta pitäisi löytyä kaikki CVE-nimet. Muut luettelot eivät välttämättä sisällä julkistetuissa tiedotteissa mainittua tiettyä CVE-nimeä, koska:

K: Mistä löydän lisää tietoa?

Lisätietoja varten käy CVE:n www-sivustolla.