Debians säkerhetsbulletiner är CVE-kompatibla

30 mars 2004

Debians säkerhetsbulletiner (DSA) deklarerades CVE-kompatibla den 24 februari 2004.

DSA-tjänsten som tillhandahålls av Debians säkerhetsgrupp har gett information om säkerhetssårbarheter som rättats i utgåvor Debian GNU/Linux sedan 1997. För att samarbeta med projektet Common Vulnerabilities and Exposures (CVE), som standardiserar namn för alla allmänt kända sårbarheter och säkerhetshål, har nya säkerhetsbulletiner innehållet CVE-namn sedan juni 2002. Debian ansökte formellt om CVE-kompatibilitet i maj 2003.

Debianprojektet anser det vara av största vikt att användare har tillgång till ytterligare information i samband med de säkerhetsproblem som berör Debiandistributionen. Genom att inkludera CVE-namnen i bulletinerna är det enklare för våra användare att förbinda allmän information om sårbarheter med specifika uppdateringar från Debian, något som reducerar den tid våra användare behöver lägga på att hantera de sårbarheter som påverkar dem.

Att ha tillgång till gemensamma referenser gör det även enklare att hantera säkerhetsfrågor i miljöer där säkerhetsverktyg med stöd för CVE används, till exempel system för att upptäcka intrång i nätverk eller datorer, eller verktyg för säkerhetsvärdering redan har installerats, oavsett om de är baserat på Debiandistributionen eller ej.

Debianprojektet har bifogat CVE-namn på alla säkerhetsbulletiner (DSA:er) som släppts sedan september 1998 under ett utvärderingsprojekt som påbörjades under augusti 2002. Alla bulletiner kan hämtas från Debians webbplats, och bulletiner för nya sårbarheter innehåller CVE-namn om dessa är tillgängliga vid den tidpunkt bulletinerna sänds ut. Vilka bulletiner som hör ihop med ett givet CVE-namn kan sökas direkt med hjälp av vår sökmaskin.

Debian tillhandahåller dessutom en komplett korsreferenstabell, vilken innehåller tillgängliga referenser för alla bulletiner som publicerats sedan 1997. Vi tillhandahåller tabellen som ett komplement till CVE:s referensöversikt.

Debianutvecklarna förstår att det är viktigt att tillhandahålla korrekt och àjourförd information om Debiandistributionens säkerhetsstatus, för att göra det möjligt för våra användare att hantera de risker som är förbundna med nya säkerhetssårbarheter. CVE gör det möjligt för oss att presentera standardiserade referenser vilket i sin tur möjliggör för användare att utveckla en säkerhetshanteringsprocess som använder CVE.