Huomaa: Alkuperäinen sivu on tätä suomennosta uudempi.
Debian ja CVE-yhteensopivuus
Debian-kehittäjät ymmärtävät tarpeen tarkalle ja ajantasaiselle Debian-jakelun tietoturvatilanteelle, jonka avulla käyttäjät voivat hallinnoida uusiin tietoturva-alttiuksiin liittyviä riskejä. Yleiset alttiudet ja tietoturvareiät -projekti (CVE) mahdollistaa standardoitujen viitteiden tarjoamisen, joka mahdollistaa käyttäjille CVE-kykyisen tietoturvan hallintaprosessin kehittämisen. CVE tarjoaa luettelon standardoiduista nimistä alttiuksille ja tietoturvarei'ille.
Debian-projektin mielestä on erittäin tärkeää tarjota käyttäjille lisätietoa Debian-jakelua koskevissa tietoturva-asioissa. CVE-nimien sisällyttäminen tiedotteisiin auttaa käyttäjiä yhdistämään yleiset alttiudet Debian-kohtaisiin päivityksiin. Tämä vähentää käyttäjiimme vaikuttavien alttiuksien käsittelyyn kuluvaa aikaa.
Yleisten tietoturvaviitteiden saatavuus helpottaa tietoturvan hallintaa ympäristöissä, joissa on CVE-kykyisiä tietoturvatyökaluja, kuten verkkoon tai koneeseen tunkeutumisen tunnistusjärjestelmiä tai alttiuksien arviointityökaluja, jotka on jo otettu käyttöön huomioimatta sitä, pohjautuvatko ne vai eivät Debian-jakeluun.
Debian-projekti on lisännyt CVE-nimet kaikkiin syyskuun 1998 jälkeisiin tietoturvatiedotteisiinsa (DSA) tarkastusprosessissa, joka alkoi elokuussa 2002. Kaikki tiedotteet ovat saatavilla Debianin www-sivulla ja uusiin alttiuksiin liittyvät julkaisut sisältävät myös CVE-nimet jos sellaisia on saatavilla julkistamishetkellä.
Debianin tietoturvan seurantapalvelin sisältää CVE-nimistä, vastaavista Debian-paketeista, Debianin tietoturvatiedotteista ja vikanumeroista koostuvan luettelon. Luettelosta voi hakea tietoja paketin nimen tai DSA/CVE-nimen perusteella. Tietokantaan on kerätty tietoja Debian Woodyn julkaisusta lähtien.
Yleisiä kysymyksiä CVE-tilanteesta
- Mikä on tämän hetkinen Debianin tilanne CVE-prosessissa?
- Miksi en löydä tiettyä CVE-nimeä?
- Mistä löydän lisää tietoa?
K: Mikä on tämän hetkinen Debianin tilanne CVE-prosessissa?
Debianin tietoturvatiedotteet on ilmoitettu CVE-yhteensopiviksi helmikuun 24., 2004. Lisätietoa on saatavilla CVE-sivustolta, mukaanlukien soveltuvuuden kyselykaavake.
K: Miksi en löydä tiettyä CVE-nimeä?
Seurantapalvelimelta pitäisi löytyä kaikki CVE-nimet. Muut luettelot eivät välttämättä sisällä julkistetuissa tiedotteissa mainittua tiettyä CVE-nimeä, koska:
- Yksikään Debian-tuote ei ole altis kyseiselle haavoittuvuudelle.
- Haavoittuvuutta käsittelevää tiedotetta ei vielä ole.
- Tiedote julkistettiin ennen kuin CVE-nimi annettiin tälle alttiudelle.
Lisätietoja varten käy CVE:n www-sivustolla.