7.2. Debian-Sicherheits-Ankündigungen

Debian-Sicherheits-Ankündigungen (DSA) werden erstellt, sobald eine Sicherheitslücke entdeckt wird, die ein Debian-Paket betrifft. Diese Ankündigungen, die von einem Mitglied des Sicherheitsteams signiert sind, enthalten Informationen zu den betroffenen Versionen und den Orten der Aktualisierungen und ihrer MD5-Summen. Die Informationen sind:

Versionsnummer der Ausbesserung
Art des Problems
Ob es aus der Ferne oder lokal ausnutzbar ist
Kurze Beschreibung des Pakets
Beschreibung des Problems
Beschreibung des Exploits
Beschreibung der Ausbesserung

DSAs werden sowohl auf der http://www.de.debian.org/ als auch auf den http://www.debian.org/security/ veröffentlicht. Das passiert normalerweise nicht, bis die Website neu erstellt wurde (alle vier Stunden). Daher könnten sie nicht sofort vorhanden sein. Somit ist die vorzugswürdige Informationsquelle die Mailingliste debian-security-announce.

Interessierte Benutzer können auch den RDF-Kanal verwenden, um die DSAs automatisch auf ihren Desktop herunterzuladen (dies wird auf einigen Portalen über Debian gemacht). Einige Anwendungen, wie etwa Evolution (ein E-Mail-Client und Hilfsprogramm für persönliche Informationen) und Multiticker (ein GNOME-Applet) können verwendet werden, um die Ankündigungen automatisch herunterzuladen. Der RDF-Kanal befindet sich unter http://www.debian.org/security/dsa.rdf.

DSAs, die auf der Webseite veröffentlicht wurden, können aktualisiert werden, nachdem sie an öffentliche Mailinglisten verschickt wurden. Eine typische Aktualisierung ist, einen Querverweis auf Datenbanken mit Sicherheitslücken hinzuzufügen. Auch Übersetzungen der DSAs ^[53] werden nicht an die Sicherheitsmailinglisten geschickt, sondern sind direkt auf der Webseite enthalten.

7.2.1. Querverweise der Verwundbarkeiten

Debian stellt eine vollständige http://www.debian.org/security/crossreferences zur Verfügung, die alle verfügbaren Verweise für die Ankündigungen seit 1998 enthält. Diese Tabelle soll die http://cve.mitre.org/cve/refs/refmap/source-DEBIAN.html ergänzen.

Sie werden bemerken, dass die Tabelle Verweise auf Sicherheitsdatenbanken wie http://www.securityfocus.com/bid, http://www.cert.org/advisories/ und http://www.kb.cert.org/vuls und auf die CVE-Bezeichnungen (siehe unten) enthält. Diese Verweise werden zur Nutzerfreundlichkeit angeboten, aber nur der CVE-Verweise werden regelmäßig überprüft und eingefügt. Dieses Feature wurde im Juni 2002 der Webseite hinzugefügt.

Das Hinzufügen von Querverweisen auf diese Sicherheitsdatenbanken hat folgende Vorteile:

Es erleichtert Benutzern von Debian zu erkennen und nachzuvollziehen, welche allgemeinen (veröffentlichten) Ankündigungen schon von Debian abgedeckt sind.
Systemadministratoren können mehr über die Verwundbarkeit und ihre Auswirkungen lernen, wenn sie den Querverweisen folgen.
Diese Informationen können benutzt werden, um Ausgaben von Verwundbarkeitsscannern, die Verweise auf CVE enthalten, zu überprüfen, um falsche Positivmeldungen auszusortieren (vergleichen Sie Abschnitt 12.1.2.1, „Der Scanner X zur Einschätzung der Verwundbarkeit sagt, dass mein Debian-System verwundbar wäre?“).

7.2.2. CVE-Kompatibilität

Debians Sicherheitsankündigungen wurden am 24. Februar 2004 http://www.de.debian.org/security/CVE-certificate.jpg ^[54].

Die Entwickler von Debian wissen von der Notwendigkeit, genaue und aktuelle Informationen über den Lage der Sicherheit in der Debian-Distribution zur Verfügung zu stellen. Dies ermöglicht es den Benutzern, mit den Risiken durch neue Sicherheitslücken umzugehen. CVE versetzt uns in die Lage, standardisierte Verweise anzubieten, die es Benutzern ermöglicht, einen http://www.cve.mitre.org/compatible/enterprise.html zu entwickeln.

Das Projekt http://cve.mitre.org wird von der MITRE Corporation betreut und stellt eine Liste von standardisierten Bezeichnungen für Verwundbarkeiten und Sicherheitslücken zur Verfügung.

Debian ist überzeugt, dass es außerordentlich wichtig ist, die Benutzer mit zusätzlichen Informationen im Zusammenhang mit Sicherheitsproblemen, welche die Debian-Distribution betreffen, zu versorgen. Indem CVE-Bezeichnungen in den Ankündigungen enthalten sind, können Benutzer leichter allgemeine Verwundbarkeiten mit bestimmten Aktualisierungen von Debian in Verbindung bringen. Dies verringert die Zeit, die benötigt wird, um Verwundbarkeiten, die unsere Benutzer betreffen, abzuarbeiten. Außerdem vereinfacht es die Organisation der Sicherheit in einer Umgebung, in der schon Sicherheitswerkzeuge, die CVE verwenden, wie Erkennungssysteme von Eindringlingen in Netzwerk oder Host oder Werkzeuge zur Bewertung der Sicherheit eingesetzt werden, unabhängig davon, ob sie auf der Debian-Distribution beruhen.

Debian stellt CVE-Bezeichnungen sind in allen DSAs seit September 1998 zur Verfügung. Alle Ankündigungen können auf der Webseite von Debian abgerufen werden. Auch Ankündigungen von neuen Verwundbarkeiten enthalten CVE-Bezeichnungen, wenn sie zum Zeitpunkt ihrer Veröffentlichung verfügbar waren. Ankündigungen, die mit einer bestimmten CVE-Bezeichnung verbunden sind, können direkt über Debians Sicherheitsdatenbank (Debian Security Tracker) gesucht werden (siehe unten).

In einige Fällen finden Sie eine bestimmte CVE-Bezeichnung in veröffentlichten Ankündigungen nicht. Beispiele dafür sind:

Keine Produkte von Debian sind von der Verwundbarkeit betroffen.
Es gibt noch keine Ankündigung, welche die Verwundbarkeit abdeckt; das Sicherheitsproblem wurde vielleicht als http://bugs.debian.org/cgi-bin/pkgreport.cgi?tag=security gemeldet, aber eine Ausbesserung wurde noch nicht getestet und hochgeladen.
Eine Ankündigung wurde veröffentlicht, bevor eine CVE-Bezeichnung einer bestimmten Verwundbarkeit zugewiesen wurde (sehen Sie auf der Webseite nach einer Aktualisierung).

^[53] Übersetzungen sind in bis zu zehn verschiedenen Sprachen verfügbar.

^[54] Der vollständige http://cve.mitre.org/compatible/phase2/SPI_Debian.html ist bei CVE erhältlich.