Debian und CVE-Kompatibilität
Die Debian-Entwickler verstehen den Bedarf nach genauen und aktuellen Informationen über den Sicherheitsstatus der Debian-Distribution, die es den Benutzern erlauben, die Risiken neuer Verwundbarkeiten zu handhaben. Das Common Vulnerabilities and Exposures-Projekt (CVE) ermöglicht es uns, standardisierte Sicherheitsangaben bereitzustellen, die es den Benutzern erlauben, einen CVE-basierten Sicherheitsmanagement-Prozess zu entwickeln. CVE bietet eine Liste standardisierter Namen für Verwundbarkeiten und Sicherheitslücken.
Das Debian-Projekt glaubt, dass es sehr wichtig ist, Anwender mit zusätzlichen Informationen in Bezug auf Sicherheitsprobleme, die die Debian-Distribution betreffen, zu versorgen. Die Einbeziehung von CVE-Namen in Sicherheitsankündigungen hilft Nutzern, allgemeine Verwundbarkeiten spezifischen Debian-Aktualisierungen zuzuordnen.
Die Verfügbarkeit allgemeiner Sicherheitsangaben
erleichtert außerdem das Sicherheitsmanagement in
Umgebungen, in denen CVE-basierte Sicherheitswerkzeuge wie Netzwerk-
oder Host-Intrusion Detection
-Systeme oder
Verwundbarkeitsbewertungstools schon zum Einsatz kommen, unabhängig
davon, ob diese Debian-basiert sind oder nicht.
Das Debian-Projekt hat CVE-Namen zu allen Sicherheitsankündigungen (DSA), die seit September 1998 herausgegeben wurden, hinzugefügt. Dies geschah in einem Überprüfungsprozess, der im August 2002 gestartet wurde. Alle Sicherheitsankündigungen können über die Debian-Webseite erreicht werden und alle Ankündigungen für neue Verwundbarkeiten enthalten CVE-Namen, falls diese zum Zeitpunkt der Veröffentlichung schon verfügbar waren.
Der Debian Sicherheits-Tracker enthält die kanonische Liste von CVE-Namen, korrespondierenden Debian-Paketen, Debian-Sicherheitsankündigungen und Fehlernummern. Sie kann nach Paketnamen oder DSA-/CVE-Namen durchsucht werden und enthält Daten seit der Veröffentlichung von Debian Woody.
Für ältere Daten können Sie die Webseite Suchmaschine oder die Querverweistabelle verwenden, die alle Referenzen für Ankündigungen seit 1997 enthält. Diese Tabelle wird als Ergänzung zu der Referenzentabelle, die bei CVE verfügbar ist bereitgestellt.
Allgemeine Fragen zum CVE-Status
- Was ist der aktuelle Status von Debian im CVE-Prozess?
- Warum finde ich einen bestimmten CVE-Namen nicht?
- Wo kann ich weitere Informationen finden?
F: Was ist der aktuelle Status von Debian im CVE-Prozess?
Die Debian-Sicherheitsankündigungen wurden am 24. Februar 2004 für CVE-kompatibel erklärt. Weitere Informationen finden Sie auf der CVE-Seite, einschließlich des Fähigkeitsfragebogen.
F: Warum finde ich einen bestimmten CVE-Namen nicht?
Der Sicherheits-Tracker sollte alle CVE-Namen enthalten. Für die anderen Listen könnten Sie einen gegebenen CVE-Namen aus den folgenden Gründen nicht in den veröffentlichten Ankündigungen finden:
- Kein Debian-Produkt ist von dieser Verwundbarkeit betroffen.
- Es gibt noch keine Ankündigung zu dieser Verwundbarkeit.
- Eine Ankündigung wurde veröffentlicht, bevor der Verwundbarkeit ein CVE-Name zugewiesen wurde.
F: Wo kann ich weitere Informationen finden?
Weitere Informationen finden Sie auf der CVE-Webseite.