7.2. Debian Security Advisories

Debian Security Advisories são avisos emitidos quandos uma vulnerabilidade de segurança que afeta um pacote Debian é descoberta. Estes avisos, assinados por um membro do Security Team, inclui informação das versões afetadas assim como a localização das atualizações e seus MD5sums. Esta informação consiste de:

número da versão para correção.
tipo de problema.
se ele é remoto ou localmente explorável.
pequena descriçãod do pacote.
descrição do problema.
descrição da exploração.
descrição da correção.

DSAs are published both on http://www.debian.org/ and in the http://www.debian.org/security/. Usually this does not happen until the website is rebuilt (every four hours) so they might not be present immediately. The preferred channel is the debian-security-announce mailing list.

Usuários interessados podem, porém, usar o canal RDF para baixar automaticamente as DSAs para seu computador. Algumas aplicações, como o Evolution (um cliente de email e assistente de informações pessoais) e o Multiticker (um applet do GNOME), podem ser usados para baixar os avisos automaticamente. O canal RDF está disponível em http://www.debian.org/security/dsa.rdf.

Os DSAs publicados no website podem ser atualizados após enviados para as listas de email. Uma atualização comum é adicionada através de referências ao banco de dados de vulnerabilidades de segurança. Além disso, traduções ^[45] dos DSAs não são enviadas para as listas de email mas são diretamente incluídas no site.

7.2.1. Referências sobre vulnerabilidades

Debian fornece uma referência completa em http://www.debian.org/security/crossreferences incluindo todas as remomendações publicadas desde 1998. Esta tabela é fornecida em complemento a http://cve.mitre.org/cve/refs/refmap/source-DEBIAN.html.

Você notará que esta tabela fornece referências aos bancos de dados como http://www.securityfocus.com/bid, http://www.cert.org/advisories/ and http://www.kb.cert.org/vuls assim como aos nomes CVE (veja abaixo). Estas referências são fornecidas para uso, porém apenas referências CVE são periodicamente revisadas e incluídas. Este recurso foi adicionado ao website em junho de 2002.

Uma das vantagens de adicionar referências ao banco de dados de vulnerabilidades é que:

torna fácil aos usuários Debian ver e tratar com recomendações publicadas que já tenham sido resolvidas pelo Debian.
administradores de sistema podem aprender mais sobre vulnerabilidades e seu impacto através das referências.
esta informação pode ser usada para a checagem de vulnerabilidades referentes ao CVE e detectar avisos falsos. (veja Seção 12.1.2.1, “O scanner de vulnerabilidade X diz que meu sistema Debian é vulnerável!”).

7.2.2. Compatibilidade CVE

As recomendações de segurança, Debian Security Advisories eram http://www.debian.org/security/CVE-certificate.jpg ^[46] em fevereiro de 2004.

Desenvolvedores Debian entendeream que precisavam fornecer precisas e atualizadas informações de segurança para a distribuição, permitindo aos usuários gerenciar o risco associado com novas vulnerabilidades. CVE fornece referências padronizadas que permitem aos usuários desenvolver um http://www.cve.mitre.org/compatible/enterprise.html.

O projeto http://cve.mitre.org é mantido pela MITRE Corporation e fornece uma lista de nomes padronizados para vulnerabilidades e exposições de segurança.

Debian acredita que fornecer aos usuários informações relacionadas a segurança que afetem a distribuição é extremamente importante. A inclusão dos nomes CVE em avisos ajudam os usuários a associar vulnerabilidades genéricas com atualizações específicas, com redução do tempo gasto para manusear as vulnerabilidades. Além disso, é fácil o gerenciamento da segurança em um ambiente onde já existem ferramentas que utilizam o CVE, como redes ou sistemas de deteccão de invasão, ou ferramentas de avalição de vulnerabilidades, mesmo que elas não sejam baseadas em uma distribuição Debian.

Debian provides CVE names for all DSAs released since September 1998. All of the advisories can be retrieved on the Debian web site, and announcements related to new vulnerabilities include CVE names if available at the time of their release. Advisories associated with a given CVE name can be searched directly through the Debian Security Tracker (see below).

Em alguns casos você pode nãO encontrar um CVE em avisos publicados porque:

No Debian os produtos não são afetados pela vulnerabilidades.
Ainda não existe uma viso abordando a vulnerabilidade (ele pode ter sido informado para a http://bugs.debian.org/cgi-bin/pkgreport.cgi?tag=security mas uma correção ainda não ter sido testada a atualizada)
Um aviso foi publicado antes que um CVE fosse assinado para a vulnerabilidade em questão (procure por uma atualização no web site)

^[45] Traduções estão disponíveis em dez idiomas

^[46] O completo http://cve.mitre.org/compatible/phase2/SPI_Debian.html estava disponível para o CVE