Tietoturvasta
Debianille tietoturva on tärkeä asia. Kaikki tietoomme tulleet tietoturvaongelmat käsitellään ja korjataan kohtuullisen ajan kuluessa. Monien tietoturvaongelmien koordinointi tapahtuu yhteistyössä muiden vapaaohjelmistojen valmistajien kanssa ja korjausten julkaisu tapahtuu samana päivänä kun haavoittuvuudesta ilmoitetaan. Debianilla on myös tietoturvan tarkastusryhmä joka käy läpi pakettiarkistoa etsien uusia tai korjaamattomia tietoturva-aukkoja.
Kokemuksen mukaan piilotteluun perustuva tietoturva (security
through obscurity
) ei ole oikeaa turvallisuutta. Asian
julkistaminen parantaa ratkaisujen laatua sekä nopeuttaa niiden
keksimistä. Niinpä tällä sivulla käsitellään Debianin suhdetta moniin
tunnettuihin Debiania mahdollisesti koskeviin turvallisuusaukkoihin.
Debian osallistuu myös tietoturvan standardisointiin: Debianin tietoturvatiedotteet ovat CVE-yhteensopivia (katso tietoturvaviittaukset) ja Debian on edustettuna Open Vulnerability Assessment Language -projektin lautakunnassa.
Debian-järjestelmäsi turvallisuudesta huolehtiminen
Jos haluat postilaatikkoosi viimeisimmät Debianin tietoturvatiedotteet, liity debian-security-announce-postilistalle.
apt-ohjelmalla on helppo hakea viimeisimmät tietoturvapäivitykset. Tämä edellyttää rivin
deb http://security.debian.org/ squeeze/updates main contrib non-free
lisäämistä /etc/apt/sources.list -tiedostoon. Sen jälkeen
suorita komento apt-get update && apt-get upgrade
noutaaksesi ja asentaaksesi odottavat päivitykset.
Lisätietoa Debianin tietoturva-asioista saat tietoturvaryhmän VUKK:sta ja Debianin tietoturvaoppaasta.
Tuoreimmat tietoturvatiedotteet
Nämä www-sivut sisältävät tiivistetyn arkiston tietoturvatiedotteista, jotka on lähetetty debian-security-announce-listalle.
[ 2. 2.2012] DSA-2403 php5 - code injection
[ 2. 2.2012] DSA-2402 iceape - several vulnerabilities
[ 2. 2.2012] DSA-2401 tomcat6 - several vulnerabilities
[ 2. 2.2012] DSA-2400 iceweasel - several vulnerabilities
[31. 1.2012] DSA-2399 php5 - several vulnerabilities
[30. 1.2012] DSA-2398 curl - several vulnerabilities
[29. 1.2012] DSA-2397 icu - buffer underflow
[27. 1.2012] DSA-2396 qemu-kvm - buffer underflow
[27. 1.2012] DSA-2395 wireshark - buffer underflow
[27. 1.2012] DSA-2394 libxml2 - several vulnerabilities
[25. 1.2012] DSA-2393 bip - buffer overflow
[23. 1.2012] DSA-2392 openssl - out-of-bounds read
[23. 1.2012] DSA-2301 rails - several vulnerabilities
[22. 1.2012] DSA-2391 phpmyadmin - several vulnerabilities
[15. 1.2012] DSA-2390 openssl - several vulnerabilities
[15. 1.2012] DSA-2389 linux-2.6 - privilege escalation/denial of service/information leak
[14. 1.2012] DSA-2388 t1lib - several vulnerabilities
[11. 1.2012] DSA-2387 simplesamlphp - insufficient input sanitation
[10. 1.2012] DSA-2386 openttd - several vulnerabilities
[10. 1.2012] DSA-2385 pdns - packet loop
[ 9. 1.2012] DSA-2384 cacti - several vulnerabilities
[ 8. 1.2012] DSA-2383 super - buffer overflow
[ 7. 1.2012] DSA-2382 ecryptfs-utils - multiple vulnerabilities
[ 6. 1.2012] DSA-2381 squid3 - invalid memory deallocation
[ 4. 1.2012] DSA-2380 foomatic-filters - shell command injection
[ 4. 1.2012] DSA-2379 krb5 - several vulnerabilities
Tuoreimmat Debianin tietoturvatiedotteet ovat saatavilla myös RDF-muodossa. Tarjolla on myös toinen tiedosto, joka sisältää lisäksi ensimmäisen kappaleen tiedotteesta, jotta voit lukea mistä tiedotteessa on kyse.
Myös vanhempia tietoturvatiedotteita on saatavilla: 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003, 2002, 2001, 2000, 1999, 1997 ja päiväyksettömiä tietoturvatiedotteita jälkipolvien ihailtavaksi.
Debian-jakelut eivät ole alttiita kaikille tietoturvaongelmille. Debian Security Tracker kokoaa kaikki tiedot Debian-pakettien haavoittuvuustilasta ja tietoja voi hakea CVE-nimellä tai paketin nimellä.
Yhteystiedot
Luethan ensin tietoturvaryhmän VUKK:n ennen yhteydenottoasi meihin, sillä kysymykseesi saattaa olla jo vastattu siellä!