セキュリティ情報
Debian ではセキュリティを非常に深刻に捉えています。 私たちは気づいた問題のすべてを取り扱い、適切な期間内に修正することを 保証しています。 多くのセキュリティ勧告は他のフリーソフトウェアベンダと調整され、 脆弱性が公表されるのと同じ日に発行されます。また、私たちは、 新規または未修正のセキュリティバグを探してアーカイブをレビューしている、セキュリティ監査チームを持っています。
隠蔽によるセキュリティ
はうまくいかないことが経験的にわかっています。
逆に、セキュリティ問題を公表することにより、その問題をより迅速でより
良く解決することが可能になります。このような観点から、このページでは
Debian の様々な既知のセキュリティホールの状態を示しています。これは潜在
的に Debian に影響を及ぼすかもしれません。
Debian はセキュリティの標準化努力にも参加しています。Debian セキュリティ勧告は CVE と互換性があります (クロスリファレンスを見てください)。また Debian は、Open Vulnerability Assessment Language プロジェクトの理事も務めています。
あなたの Debian システムのセキュリティを維持するには
最新の Debian セキュリティ勧告を受け取るには、 debian-security-announce メーリングリストを講読してください。
apt
を使うと、簡単に最新のセキュリティアップデートを取得することができます。
こちらを利用するためにはご自分の /etc/apt/sources.list ファイルに
deb http://security.debian.org/ squeeze/updates main contrib non-free
という行が必要になります。それから apt-get update && apt-get upgrade を実行して未処理の更新をダウンロード、適用してください。 セキュリティアーカイブは通常の Debian アーカイブ署名用の鍵で署名されています。
Debian のセキュリティについてもっと知るためには、 セキュリティチーム FAQ と Debian セキュリティ強化マニュアルを参照してください。
最近の勧告
以下のページは、 debian-security-announce メーリングリストに投稿された セキュリティ勧告をまとめたものです。
[2013-04-30] DSA-2665 strongswan - 認証の迂回
[2013-04-22] DSA-2663 tinc - スタックベースのバッファオーバフロー
[2013-04-20] DSA-2660 curl - 機密情報の暴露
[2013-04-18] DSA-2662 xen - 複数の脆弱性
[2013-04-17] DSA-2661 xorg-server - 情報漏洩
[2013-04-09] DSA-2659 libapache-mod-security - XML 外部エンティティ処理の脆弱性
[2013-04-04] DSA-2658 postgresql-9.1 - 複数の脆弱性
[2013-04-04] DSA-2657 postgresql-8.4 - 推測可能な乱数値
[2013-04-03] DSA-2654 libxslt - サービス拒否
最新の Debian セキュリティ勧告は、 RDF フォーマットでも利用できます。
また、何についての勧告かがわかるように、対応する勧告の最初の段落を含むもうひとつのファイルも提供しています。古いセキュリティ勧告は、以下で見ることができます。 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003, 2002, 2001, 2000, 1999, 1997 および 記録として残されている日付不詳のセキュリティ勧告.
Debian ディストリビューションはどのセキュリティ問題に対しても脆弱ではありません。 Debian Security Tracker は Debian パッケージの脆弱性の状態についてのすべての情報を収集しており、 CVE 名またはパッケージ名で検索できます。
連絡先
私たちに連絡する前に、 セキュリティチーム FAQ を読んでください。 あなたの疑問に対する答えがすでに存在するかもしれません。
連絡先も、FAQに書かれています。