Actualités récentes / Nouvelles de 2004 / Actualités -- Alertes de sécurité Debian compatibles avec CVE

Alertes de sécurité Debian compatibles avec CVE

30 mars 2004

Les alertes de sécurité Debian (DSA) ont été déclarées compatibles CVE lors de la conférence RSA 2004 à San Francisco le 24 février 2004.

Le service des DSA fourni par l'équipe de sécurité Debian offre des informations sur les failles de sécurités qui sont corrigés dans les versions Debian GNU/Linux depuis 1997. Dans un effort de coopération avec le projet Common Vulnerabilities and Exposures (CVE) pour standardiser les noms de toutes les failles connues publiquement et expositions de sécurité, les nouvelles alertes de sécurité portent des noms CVE depuis juin 2002. Debian s'est formellement porté candidat à la compatibilité CVE en mai 2003.

Le projet Debian croît qu'il est extrêmement important de fournir aux utilisateurs des informations supplémentaires liées aux problèmes de sécurité qui touchent la distribution Debian. L'inclusion des noms CVE dans les alertes aide les utilisateurs à associer des failles génériques avec les alertes et mises à jour spécifiques à Debian, ce qui réduit le temps passé à gérer les failles affectant nos utilisateurs.

La disponibilité des références de sécurité communes facilite également la gestion de la sécurité dans un environnement où des outils de sécurité supportant CVE comme des systèmes d'intrusion de réseau et d'hôte ou des outils d'évaluation des failles sont déjà déployés qu'ils soient ou non basés sur la distribution Debian.

Le projet Debian a ajouté des noms CVE pour toutes les alertes diffusés depuis septembre 1998 par un processus de relecture commencé en août 2002. Toutes les alertes de sécurité peuvent être récupérées depuis le site web Debian et toutes les annonces liées aux nouvelles vulnérabilités incluent des noms CVE s'ils sont disponibles au moment de leur publication. Les alertes associées avec un nom CVE donné peuvent être cherchées directement avec le moteur de recherche.

De plus, Debian fournit une table de références croisées complète incluant toutes les références disponibles pour les alertes publiées depuis 1997. Cette table est fournie pour fournir un complément à la table de référence disponible sur le site du CVE.

Les développeurs Debian comprennent le besoin de fournir des informations précises et à jour sur l'état de sécurité de la distribution Debian, permettant aux utilisateurs de gérer le risque associé avec de nouvelles failles de sécurité. Les noms CVE permettent aux projet de fournir des références standards pour toutes les failles connues publiquement et expositions de sécurité qui permettent aux utilisateurs de développer un processus de gestion de la sécurité supportant CVE.