7.2. Avvisi di sicurezza Debian

Debian Security Advisories (DSAs) are made whenever a security vulnerability is discovered that affects a Debian package. These advisories, signed by one of the Security Team members, include information of the versions affected as well as the location of the updates. This information is:

Numero di versione della correzione.
Tipo di problema.
Se la vulnerabilità è sfruttabile da remoto o solo localmente.
Breve descrizione del pacchetto.
Descrizione del problema.
Descrizione dell'exploit.
Descrizione della correzione.

DSAs are published both on http://www.debian.org/ and in the http://www.debian.org/security/. Usually this does not happen until the website is rebuilt (every four hours) so they might not be present immediately. The preferred channel is the debian-security-announce mailing list.

Gli utenti interessati possono comunque (e questo viene fatto in alcuni portali relativi a Debian) utilizzare il canale RDF per scaricare automaticamente gli avvisi di sicurezza sul loro desktop. Alcune applicazioni, come Evolution (un client e-mail ed assistente per informazioni personali) e Multiticker (un'applet di GNOME), possono essere usate per reperire gli avvisi automaticamente. Il canale RDF è disponibile su http://www.debian.org/security/dsa.rdf.

I DSA pubblicati sul sito potrebbero essere aggiornati dopo essere stati spediti alle mailing-list pubbliche. Un aggiornamento tipico è aggiungere riferimenti incrociati ai database delle vulnerabilità di sicurezza. Inoltre, le traduzioni ^[45] dei DSA non vengono spedite alle mailing list di sicurezza ma incluse direttamente nel sito.

7.2.1. Riferimenti incrociati sulle vulnerabilità

Debian fornisce una http://www.debian.org/security/crossreferences che include tutti i riferimenti disponibili per tutti gli avvisi pubblicati dal 1998. Questa tabella viene fornita per completare la http://cve.mitre.org/cve/refs/refmap/source-DEBIAN.html.

You will notice that this table provides references to security databases such as http://www.securityfocus.com/bid, http://www.cert.org/advisories/ and http://www.kb.cert.org/vuls as well as CVE names (see below). These references are provided for convenience use, but only CVE references are periodically reviewed and included.

Advantages of adding cross references to these vulnerability databases are:

Rende agli utenti Debian più facile vedere e tenere traccia di quali avvisi pubblicati sono già stati coperti da Debian.
Gli amministratori di sistema possono imparare di più sulle vulnerabilità ed il loro impatto seguendo i riferimenti incrociati.
Queste informazioni possono essere usate per fare controlli incrociati con l'output degli scanner di vulnerabilità che includono riferimenti a CVE per rimuovere falsi allarmi (vedete in Sezione 12.1.2.1, «Sa scansione per la ricerca delle vulnerabilità risulta che il mio sistema Debian è vulnerabile!»).

7.2.2. Compatibilità con CVE

Debian Security Advisories were http://www.debian.org/security/CVE-certificate.jpg ^[46] in February 24, 2004.

Gli sviluppatori Debian capiscono la necessità di fornire informazioni accurate ed aggiornate sullo stato della sicurezza della distribuzione Debian, permettendo agli utenti di gestire i rischi associati con le nuove vulnerabilità della sicurezza. CVE ci permette di fornire riferimenti standardizzati che permettono agli utenti di sviluppare un processo di http://www.cve.mitre.org/compatible/enterprise.html.

Il progetto http://cve.mitre.org viene mantenuto dalla MITRE Corporation e fornisce un elenco standardizzato per le vulnerabilità ed i problemi di sicurezza.

Debian crede che fornire agli utenti informazioni aggiuntive relative alle questioni di sicurezza della distribuzione Debian sia estremamente importante. L'inclusione dei nomi CVE negli avvisi aiuta gli utenti ad associare delle generiche vulnerabilità con gli aggiornamenti Debian, il che riduce il tempo necessario per gestire le vulnerabilità che affliggono i nostri utenti. Inoltre, facilita la gestione della sicurezza in un ambiente dove strumenti di sicurezza con CVE abilitato - come sistemi di rilevamento d'intrusione su rete o su di un host, o strumenti per la valutazione di vulnerabilità - sono già in uso indipendentemente dal fatto che siano basati sulla distribuzione Debian.

Debian provides CVE names for all DSAs released since September 1998. All of the advisories can be retrieved on the Debian web site, and announcements related to new vulnerabilities include CVE names if available at the time of their release. Advisories associated with a given CVE name can be searched directly through the Debian Security Tracker (see below).

In alcuni casi potreste non trovare un dato nome CVE tra gli avvisi pubblicati, per esempio perché:

Non ci sono prodotti Debian affetti da quella specifica vulnerabilità.
Non c'è ancora un avviso che copre quella vulnerabilità (il problema di sicurezza potrebbe essere stato riportato come http://bugs.debian.org/cgi-bin/pkgreport.cgi?tag=security ma non è ancora stata caricata o collaudata un'apposita patch).
Un avviso è stato pubblicato prima che il nome CVE sia stato assegnato ad una data vulnerabilità (cercate un aggiornamento sul sito web).

^[45] Le traduzioni sono disponibili in una decina di lingue diverse.

^[46] The full http://cve.mitre.org/compatible/phase2/SPI_Debian.html is available at CVE