Varoitus! Tämä suomennos on liian vanha, katso mieluummin alkuperäistä sivua.

Debianin Usein Kysytyt Kysymykset tietoturvasta

Saamme seuraavia kysymyksiä turhan usein näinä päivinä, joten olemme tehneet näistä kysymyksistä vastauksineen yhteenvedon tähän.

  1. Tiedotteiden allekirjoitukset eivät ole aitoja!
  2. Kuinka tietoturvasta huolehditaan Debianissa?
  3. Miksi puuhailette pakettien vanhojen versioiden kanssa?
  4. Millaisin perustein korjattu paketti ilmestyy security.debian.org-palvelimelle?
  5. Mitä tarkoittaa paikallinen (etä)?
  6. Paketin versionumero antaa ymmärtää, että käytän edelleen altista versiota!
  7. Sain tiedotteen, mutta käännös yhdelle suoritinarkkitehtuurille näyttää puuttuvan.
  8. Kuinka tietoturva hoidetaan epävakaa-jakelussa?
  9. Kuinka tietoturva hoidetaan testattava-jakelussa?
  10. Kuinka tietoturva hoidetaan contrib- ja non-free-osastoissa?
  11. Tietoturvatiedotteessa mainitaan että paketin ongelma on korjattu epävakaan versiossa 1.2.3-1, mutta epävakaa sisältää version 1.2.5-1, mitä tämä tarkoittaa?
  12. Miksei security.debian.orgilla ole virallisia peilauksia?
  13. Olen nähnyt DSA 100:n ja DSA 102:n, mutta missä on DSA 101?
  14. Kuinka tavoitan tietoturvaryhmän?
  15. Löysin luultavasti tietoturvaongelman, mitä minun pitäisi tehdä?
  16. Mitä pitäisi tehdä erään oman pakettini tietoturvaongelman kanssa?
  17. Yritin imuroida paketin, joka on listattu eräässä tietoturvatiedotteessa, mutta sain tiedostoa ei löydy-ilmoituksen.
  18. Minulla on vikakorjaus, voinko laittaa sen suoraan security.debian.org:iin?
  19. Minulla on vikakorjaus, voinko lähettää sen proposed-updatesiin tuon sijaan?
  20. Olen varma siitä, että pakettini ovat ok, kuinka voin siirtää ne palvelimelle?
  21. Kuinka voin auttaa tietoturva-asioissa?
  22. Mikä tarkoitus on proposed-updates-hakemistolla?
  23. Kuinka tietoturvaryhmä muodostuu?
  24. Kuinka pitkään tietoturvapäivityksiä tarjotaan?
  25. Kuinka voin tarkistaa pakettien eheyden?
  26. Mitä tehdä jos tietoturvapäivitys rikkoo satunnaisen paketin?

K: Tiedotteiden allekirjoitukset eivät ole aitoja!

V: Tämä ongelma sijaitsee mitä todennäköisimmin siellä päässä. debian-security-announce-listalla on suodatin, joka päästää läpi ainoastaan viestit, joissa on väärentämätön allekirjoitus joltakin tietoturvaryhmän jäseneltä.

Luultavasti jokin postiohjelmistosi osa muuttaa hiukan viestejä ja rikkoo allekirjoituksen. Varmista että ohjelmistosi ei tee mitään MIME-koodausta tai -purkamista taikka tab/välilyönti-muunnoksia.

Tunnettuja syyllisiä ovat fetchmail (jos mimedecode-asetus on päällä), formail (ainoastaan procmail:in versiossa 3.14) ja evolution.

K: Kuinka tietoturvasta huolehditaan Debianissa?

V: Kun tietoturvaryhmä saa huomautuksen tapauksesta, yksi tai useampi ryhmän jäsen tarkistaa sen ja tarkistaa onko Debianin vakaa julkaisu alttiina uhalle vaiko ei. Jos järjestelmä on alttiina, teemme korjauksen ongelmaan. Paketin ylläpitäjään otetaan myös yhteyttä jos hän ei vielä ole ottanut ryhmään yhteyttä. Lopulta korjaus testataan ja uudet paketit valmistellaan, jotka myöhemmin käännetään kaikille vakaan julkaisun arkkitehtuureille ja lähetetään palvelimille. Kun nämä on tehty, julkaistaan tiedote.

K: Miksi puuhailette pakettien vanhojen versioiden kanssa?

V: Tärkein periaate tietoturvaongelman korjaavan paketin tekemisessä on tehdä niin vähän muutoksia kuin mahdollista. Käyttäjämme ja kehittäjämme luottavat järjestelmän täsmälliseen toimintaan julkaisun jälkeen, joten mikä tahansa muutos saattaa rikkoa jonkun järjestelmän. Tämä on erittäin tärkeää kirjastojen tapauksessa: varmista, että et koskaan muuta APIa tai ABIa, huolimatta siitä kuinka pieni muutos olisi.

Tämä tarkoittaa, että uuteen versioon siirtyminen ei ole hyvä ratkaisu, sen sijaan tärkeät muutokset tulee siirtää. Yleensä ohjelman tekijät osaavat auttaa tarvittaessa, jos ei, niin Debianin tietoturvaryhmä saattaa kyetä auttamaan.

Joissain tapauksissa ei ole mahdollista siirtää tietoturvakorjausta, jos esimerkiksi suurta määrää lähdekoodia täytyisi muokata tai uudelleenkirjoittaa. Jos näin tapahtuu, saattaa olla pakko siirtyä uuteen versioon, mutta tästä täytyy sopia tietoturvaryhmän kanssa etukäteen.

K: Millaisin perustein korjattu paketti ilmestyy security.debian.org-palvelimelle?

V: Tietoturvareikä vakaassa jakelussa takaa paketin pääsyn security.debian.orgiin. Mikään muu syy ei kelpaa. Reiän koko ei ole todellinen ongelma tässä. Yleensä tietoturvaryhmä valmistelee paketit yhdessä paketin ylläpitäjän kanssa. Jos joku (luotettu) henkilö seuraa ongelmaa ja saa kaikki tarvittavat paketit käännettyä ja lähettää nämä paketit tietoturvaryhmälle, jopa hyvin yksinkertaiset tietoturvaongelmien korjaukset pääsevät security.debian.org-palvelimelle. Katso lisää alempaa!

Tietoturvapäivitykset palvelevat yhtä tarkoitusta: tietoturva-aukon korjaamista. Ne eivät ole menetelmä ylimääräisten muutosten ujuttamiseen vakaaseen jakeluun ilman puolijulkaisun normaaleja tarkistuksia.

K: Mitä tarkoittaa paikallinen (etä)?

V: Osa tiedotteista käsittelee alttiuksia, joita ei voida tunnistaa klassisella jaottelulla paikallisiin ja etähyökkäyksiin. Joitain alttiuksia ei voi hyväksikäyttää etäältä, esim. ei ole vastaavaa palvelua kuuntelemassa verkossa porttia. Mikäli niitä voi hyväksikäyttää erikoistiedostoilla, joita voidaan tarjota verkon kautta kun altis palvelu ei ole pysyvästi yhteydessä verkkoon, niin tällaisissa tapauksissa kirjoitamme paikallinen (etä).

Tällaiset alttiudet ovat jossain paikallisen ja etäalttiuden välissä ja liittyvät usein arkistoihin, joita tarjotaan verkosta, esim. sähköpostin liitteenä tai imurointisivulta.

K: Paketin versionumero antaa ymmärtää, että käytän edelleen altista versiota!

V: Sen sijaan, että päivittäisimme uuteen versioon, me siirrämme tietoturvakorjaukset takaisin vanhalle versiolle, jota toimitamme vakaassa julkaisussa. Tämän teemme varmistaaksemme, että julkaisu muuttuu niin vähän kuin mahdollista, jotta asiat eivät muuttuisi tai hajoaisi yllättäen turvakorjauksen seurauksena. Voit tarkistaa käytätkö paketin turvallista versiota katsomalla paketin muutoslokia tai vertaamalla sen tarkkaa versionumeroa Debianin turvatiedotteessa mainittuun versioon.

K: Sain tiedotteen, mutta käännös yhdelle suoritinarkkitehtuurille näyttää puuttuvan.

V: Yleensä tietoturvaryhmä julkaisee tiedotteen, jossa on mukana päivitetyt käännökset kaikille arkkitehtuureille, joita Debian tukee. Kuitenkin jotkut arkkitehtuurit ovat hitaampia kuin toiset ja toisinaan käännökset useimmille arkkitehtuureille ovat jo valmiina kun osa vielä puuttuu. Nämä pienemmät arkkitehtuurit edustavat pientä osaa käyttäjäkunnastamme. Riippuen asian tärkeydestä, saatamme päättää julkaista tiedotteen heti. Puuttuvat käännökset asennetaan heti kun ne tulevat saataville, mutta myöhempää tiedotetta tästä ei anneta. Emme tietenkään koskaan julkaise tiedotetta ilman i386- tai amd64-käännöstä.

K: Kuinka tietoturva hoidetaan epävakaa-jakelussa?

V: Lyhyt vastaus on: ei mitenkään. Epävakaa on nopeasti muuttuva kohde ja tietoturvaryhmällä ei ole tarvittavia voimavaroja tukeakseen sitä kunnolla. Jos haluat turvallisen (ja vakaan) palvelimen, rohkaisemme sinua vahvasti käyttämään vakaata julkaisua.

K: Kuinka tietoturva hoidetaan testattava-jakelussa?

V: Jos haluat turvallisen (ja vakaan) palvelimen, rohkaisemme sinua vahvasti käyttämään vakaata julkaisua. Testattavalle jakelulle on kuitenkin tarjolla tietoturvatukea: Debianin testattavan jakelun tietoturvaryhmä käsittelee jakelua koskevat ongelmat. Ryhmä varmistaa että korjatut paketit saapuvat testattavaan perinteistä reittiä epävakaan kautta (lyhennetyllä karanteeniajalla), tai, mikäli se kestää liian kauan, paketit laitetaan saataville normaaliin tapaan http://security.debian.org-infrastruktuurin kautta. Päivitykset saa käyttöön kun varmistetaan että tiedostosta /etc/apt/sources.list löytyy seuraava rivi:

deb http://security.debian.org <koodinimi>/updates main

ja ajetaan apt-get update && apt-get upgrade tavalliseen tapaan.

Huomaa, että tämä ei ole tae siitä että kaikki tunnetut tietoturvaviat olisi korjattu testattavassa! Jotkut päivitetyt paketit saattavat odottaa siirtymistä testattavaan. Lisätietoja testattavan tietoturvainfrastruktuurista löytyy osoitteesta http://secure-testing-master.debian.net/.

K: Kuinka tietoturva hoidetaan contrib- ja non-free-osastoissa?

A: Lyhyt vastaus on: ei mitenkään. Contrib ja non-free eivät ole osa virallista Debian-jakelua eikä niitä ole siis julkaistu, ja niin ollen tietoturvaryhmä ei myöskään tue niitä. Joitakin non-free-paketteja levitetään ilman lähdekoodia tai ilman muutettujen versioiden levittämistä sallivaa lisenssiä. Kyseisissä tapauksissa tietoturvakorjauksia ei voida tehdä lainkaan. Mikäli ongelman korjaus on mahdollista, ja paketin ylläpitäjä tai joku muu tarjoaa oikeat päivitetyt paketit, tällöin tietoturvaryhmä yleensä käsittelee ne ja julkaisee tiedotteen.

K: Tietoturvatiedotteessa mainitaan että paketin ongelma on korjattu epävakaan versiossa 1.2.3-1, mutta epävakaa sisältää version 1.2.5-1, mitä tämä tarkoittaa?

A: Pyrimme mainitsemaan tiedotteessa epävakaan ensimmäisen version joka sisältää korjauksen. Toisinaan käy niin että paketin ylläpitäjä on ehtinyt lähettää paketista jo uudemman version. Vertaa epävakaan versionumeroa tiedotteessa mainittuun versionumeroon. Jos se on sama tai suurempi, ko. haavoittuvuus on korjattu paketista.

K: Miksei security.debian.orgilla ole virallisia peilauksia?

V: Itse asiassa niitä on olemassa. Virallisia peilauksia on useita, ne on toteutettu DNS-aliaksien avulla. security.debian.org:n tarkoituksena on tuoda tietoturvapäivitykset saataville mahdollisimman nopeasti ja vaivattomasti.

Epävirallisten peilausten käytön suosittelu lisäisi turhaa monimutkaisuutta, jota ei haluta, ja voi aiheuttaa turhautumista jos ne eivät ole ajan tasalla.

K: Olen nähnyt DSA 100:n ja DSA 102:n, mutta missä on DSA 101?

V: Useat toimittajat (enimmäkseen GNU/Linux, mutta myös BSD-johdannaisten) koordinoivat yhdessä turvallisuusvaroituksia joissain tapauksissa ja sopivat yhteisestä aikataulusta siten että kaikki toimittajat voivat julkaista ohjeensa samaan aikaan. Tätä tiedotetta päätettiin lykätä, koska jotkut toimittajat tarvitsivat enemmän aikaa (esim. koska toimittajan linjaan kuuluu pitkät pakettien testiohjelmat tai toimittajalla on monta arkkitehtuuria tuettavana). Debianin tietoturvaryhmä valmistautuu tiedotteisiin ajoissa. Silloin tällöin tietoturvaongelmiin täytyy löytää ratkaisu, ennen kuin tietoturvatiedote voidaan julkaista, ja siksi välillä jotkin tiedotteet jäävät väliaikaisesti ilman numeroa.

K: Kuinka tavoitan tietoturvaryhmän?

V: Tietoturvaan liittyvää tietoa voit lähettää osoitteeseen security@debian.org tai team@security.debian.org, joita lukee vain tietoturvaryhmä.

Mikäli olet paketin ylläpitäjä ja haluat ottaa yhteyttä liittyen pakettiasi koskevaan seikkaan, ole hyvä ja kirjaa asia seurantajärjestelmäämme. Mikäli haluat käyttää PGP-salausta, on kuitenkin parempi käyttää tavallista sähköpostia.

Jos haluat, voit salakirjoittaa viestisi Debianin tietoturvakontaktin avaimella (avaimen ID 0x0D59D2B15144766A14D241C66BAF400B05C3E651). Tietoturvaryhmän yksittäisten jäsenten PGP/GPG-avaimet löytyvät keyring.debian.org-avainpalvelimelta.

K: Löysin luultavasti tietoturvaongelman, mitä minun pitäisi tehdä?

V: Jos saat tietää tietoturvaongelmasta, joko omassa paketissasi tai jonkun muun, ota aina yhteyttä tietoturvaryhmään. Jos ryhmä varmistaa alttiuden ja muut toimittajat lienevät alttiita myös, ryhmä ottaa yleensä yhteyttä myös muihin toimittajiin. Jos alttiutta ei ole julkistettu, ryhmä yrittää koordinoida tietoturvatiedotteet muiden toimittajien kanssa, jotta kaikki jakeluversiot korjataan samanaikaisesti.

Mikäli haavoittuvuus tunnetaan jo julkisesti, varmista, että kirjaat vikailmoituksen Debianin vianseurantajärjestelmään ja lisäät siihen merkinnän security (tietoturva).

Jos olet Debian-ylläpitäjä, katso alla.

K: Mitä pitäisi tehdä erään oman pakettini tietoturvaongelman kanssa?

V: Jos saat tietää tietoturvaongelmasta, joko omassa paketissasi tai jonkun muun, ota aina yhteyttä tietoturvaryhmään mieluiten kirjaamalla asian seurantajärjestelmään, mutta voit myös lähestyä sähköpostilla osoitteeseen team@security.debian.org. He pitävät kirjaa tunnetuista tietoturvaongelmista, voivat auttaa ylläpitäjiä korjaamaan tai korjaavat ongelmat itse, ovat vastuussa tiedotteiden lähettämisestä ja ylläpitävät security.debian.org-konetta.

Kehittäjien käsikirjassa on täydelliset ohjeet mitä tehdä.

On tärkeää, ettet lähetä tiedostoja mihinkään muuhun kuin epävakaaseen ilman tietoturvaryhmän lupaa, koska heidän ohittamisensa aiheuttaa sekaannusta ja lisää työtä.

K: Yritin imuroida paketin, joka on listattu eräässä tietoturvatiedotteessa, mutta sain tiedostoa ei löydy-ilmoituksen.

V: Kun uudempi vikakorjaus korvaa vanhemman paketin security.debian.org:ssa, on erittäin todennäköistä, että vanha paketti poistetaan samalla kun uusi asetetaan saataville. Tästä syystä saat tiedostoa ei löydy-ilmoituksen. Me emme halua jaella paketteja, joissa on tunnettuja tietoturvaongelmia yhtään pidempään kuin on pakollista.

Käytä tuoreimpien tietoturvatiedotteiden mukaisia paketteja, joista ilmoitetaan debian-security-announce-postilistan kautta. On parasta yksinkertaisesti ajaa apt-get update ennen pakettien päivittämistä.

K: Minulla on vikakorjaus, voinko laittaa sen suoraan security.debian.org:iin?

V: Et voi. Security.debian.org-palvelimen arkistoa ylläpitää tietoturvaryhmä, joiden täytyy hyväksyä kaikki paketit. Sen sijaan sinun tulisi lähettää korjaus tai kunnollinen lähdekoodipaketti tietoturvaryhmälle, joko seurantajärjestelmään tai osoitteeseen team@security.debian.org. Tietoturvaryhmä tarkistaa muutoksesi ja siirtää sen palvelimelle, joko muokattuna tai muokkaamattomana.

Jos et ole tottunut tietoturvapäivityksiin etkä ole sataprosenttisen varma siitä, että pakettisi on ehjä, käytä tätä tapaa äläkä lähetä sitä saapuvat-hakemistoon. Tietoturvaryhmällä on vain rajoitetusti vaihtoehtoja käsitellä rikkinäisiä paketteja, erityisesti jos versionumero ei ole järkevä. Tällä hetkellä paketteja ei voi hylätä ja buildd menisi sekaisin jos se olisi mahdollista. Siksi käytä mieluummin sähköpostia ja auta olemalla lisäämättä tietoturvaryhmän tuskaa.

Kehittäjien käsikirjassa on täydelliset ohjeet mitä tehdä.

K: Minulla on vikakorjaus, voinko lähettää sen proposed-updatesiin tuon sijaan?

V: Teknisesti ottaen voit. Sinun ei kuitenkaan pidä tehdä näin, koska tämä häiritsee huomattavasti tietoturvaryhmän työtä. Paketit security.debian.org:sta kopioidaan automaattisesti proposed-updates-hakemistoon. Jos paketti, jolla on sama tai korkeampi versionumero on jo lisätty arkistoon, arkistojärjestelmä hylkää tietoturvapäivityksen. Näin vakaaseen jakeluun ei saada tälle paketille tietoturvapäivitystä, ellei proposed-updates-hakemiston vääriä paketteja ole sitten hylätty. Sen sijaan ota yhteyttä tietoturvaryhmään ja sisällytä kaikki yksityiskohdat alttiudesta ja liitä lähdetiedostot (esim. diff.gz- ja dsc-tiedostot) sähköpostiisi.

Kehittäjien käsikirjassa on täydelliset ohjeet mitä tehdä.

K: Olen varma siitä, että pakettini ovat ok, kuinka voin siirtää ne palvelimelle?

V: Jos olet erittäin varma, että pakettisi eivät riko mitään, että versio on järkevä (eli suurempi kuin versio vakaassa ja pienempi kuin testattavassa/epävakaassa), että et muuttanut paketin toimintaa muutoin kuin korjaamalla tietoturvaongelman, että käänsit paketin oikealle jakelulle (joka on oldstable-security tai stable-security), että paketti sisältää alkuperäisen lähdekoodin jos paketti on uusi security.debian.org:ssa, että voit varmistaa muutoksen tuoreimpaan versioon olevan puhdas ja se koskee ainoastaan kyseessä olevaa tietoturvaongelmaa (tarkista interdiff -z:lla ja molemmat .diff.gz-tiedostot), että olet oikolukenut muutokset vähintään kolmasti, ja että debdiff ei näytä mitään muutoksia, voit lähettää tiedostot suoraan security.debian.org:in incoming-hakemistoon ftp://ftp.security.upload.debian.org/pub/SecurityUploadQueue. Lähetä huomautus asiasta kaikilla yksityiskohdilla ja linkeillä varustettuna myös osoitteeseen team@security.debian.org .

K: Kuinka voin auttaa tietoturva-asioissa?

V: Tarkista jokainen ongelma ennen kuin raportoit sen osoitteeseen security@debian.org. Jos kykenet toimittamaan korjauksen, se nopeuttaa prosessia. Älä pelkästään edelleenlähetä bugtraq-posteja, koska vastaanotamme ne muutenkin. Jos kuitenkin kykenet tarjoamaan lisätietoa, siitä on aina apua.

Alkuun pääsee vaikkapa auttamalla Debianin tietoturvan seurantapalvelimen (ohjeistuksessa).

K: Mikä tarkoitus on proposed-updates-hakemistolla?

V: Tämä hakemisto sisältää paketteja, jotka ovat ehdolla seuraavaan versioon Debianin vakaasta julkaisusta. Aina kun ylläpitäjä lähettää paketin vakaaseen julkaisuun, paketti päätyy proposed-updates-hakemistoon. Koska vakaan on tarkoitus todellakin olla vakaa, mitään automaattisia päivityksiä ei tehdä. Tietoturvaryhmä lähettää korjatut paketit tiedotteiden kera vakaaseen, ja nämäkin paketit päätyvät ensin proposed-updates-hakemistoon. Muutaman kuukauden välein vakaan julkaisupäällikkö käy läpi listan paketeista proposed-updatesissa ja ottaa selvää mitkä paketit soveltuvat vakaaseen ja mitkä eivät. Näistä hyväksytyistä paketeista tehdään uusi versio vakaasta (kuten 2.2r3 tai 2.2r4). Paketit, jotka eivät ole kelvollisia, tullaan todennäköisesti hylkäämään ja poistamaan myös proposed-updates-hakemistosta.

Huomaathan, että tietoturvaryhmä ei tue ylläpitäjien itse (ei siis tietoturvaryhmän) proposed-updates/-hakemistoon lähettämiä paketteja.

K: Kuinka tietoturvaryhmä muodostuu?

V: Tietoturvaryhmä koostuu useista jäsenistä ja sihteereistä. Tietoturvaryhmä nimittää itse liittyvät ihmiset.

K: Kuinka pitkään tietoturvapäivityksiä tarjotaan?

V: Tietoturvaryhmä yrittää tukea vakaata jakelua vielä noin yhden vuoden siitä kun seuraava vakaa jakelu on julkaistu, paitsi jos vielä toinen vakaa jakelu julkaistaan vuoden sisällä. Kolmen jakelun tukeminen ei ole mahdollista; kahdenkin jakelun tukeminen samanaikaisesti on riittävän vaikeaa.

K: Kuinka voin tarkistaa pakettien eheyden?

V: Tämä prosessi käsittää Release-tiedoston allekirjoituksen tarkistamisen julkista avainta vasten, jota käytetään arkistoon. Release-tiedosto sisältää tarkistussummat Packages- ja Sources-tiedostoille, jotka sisältävät tarkistussummat binääri- ja lähdekoodipaketeille. Yksityiskohtaiset ohjeet pakettien eheyden tarkistamiseen löydät Debianin tietoturvaoppaasta.

K: Mitä tehdä jos tietoturvapäivitys rikkoo satunnaisen paketin?

V: Ensimmäiseksi tulisi selvittää miksi paketti hajoaa, ja miten se liittyy tietoturvapäivitykseen. Tämän jälkeen, ota yhteyttä tietoturvaryhmään jos vika on vakava, tai vakaan julkaisun versiojohtajaan jos vika on vähemmän vakava. Kyse on siis satunnaisista paketeista jotka hajoavat jonkun toisen paketin tietoturvapäivityksen yhteydessä. Jos et keksi, mikä menee vikaan, mutta pystyt korjaamaan vian, ota yhteyttä myöskin tietoturvaryhmään. Sinut saatetaan kuitenkin ohjata vakaan julkaisun versiojohtajan pakeille.