Nota: La página original es más nueva que esta traducción.

CVE-compatible Debian y la compatiblidad con CVE

Los desarrolladores de Debian saben de la necesidad de proporcionar una información actualizada y precisa del estado de la seguridad en la distribución Debian, que permita a los usuarios gestionar adecuadamente los riesgos asociados con las nuevas vulnerabilidades de seguridad. CVE nos permite proporcionar referencias estandarizadas, lo que permite a nuestros usuarios desarrollar unos procesos de gestión de seguridad conformes a CVE.

El proyecto Common Vulnerabilities and Exposures (CVE - Vulnerabilidades y Exposiciones Comunes), nos permite proporcionar referencias de seguridad estandarizadas que permite a los usuarios desarrollar un proceso de gestión del sistema con CVE activado. CVE proporciona una lista de nombres estándar para las vulnerabilidades y las exposiciones de seguridad.

El proyecto Debian cree que es extremadamente importante proporcionar a los usuarios información adicional relacionada con los incidentes de seguridad que afectan a la distribución. La inclusión de nombres CVE en los avisos ayuda a los usuarios a asociar vulnerabilidades genéricas con actualizaciones específicas de Debian, lo que reduce el tiempo empleado en gestionar las vulnerabilidades que afectan a nuestros usuarios.

La disponibilidad de las referencias de seguridad comunes también facilita la gestión de la seguridad en un entorno donde haya herramientas de seguridad compatibles con CVE como pueda ser el caso de sistemas de detección de intrusos (de equipos o de redes), o herramientas de análisis de vulnerabilidades que ya hayan sido desplegadas, sin importar si están basadas o no en la distribución Debian.

El proyecto Debian ha añadido nombres CVE a todos los avisos de seguridad (DSA) publicados desde septiembre de 1998, por medio de un proceso de revisión que comenzó en agosto de 2002. Todos los avisos se pueden obtener del sitio web de Debian, y los anuncios relativos a las nuevas vulnerabilidades incluyen los nombres CVE, siempre que estén disponibles a la hora de su publicación.

La herramienta de Seguimiento de Seguridad en Debian tiene la lista canónica de nombres CVE, paquetes Debian asociados, Avisos de Seguridad de Debian y números de errata. Se puede buscar en esta herramienta cualquier nombre CVE o aviso DSA y contiene datos desde la publicación de Debian Woody.

Preguntas frecuentes sobre el estado de compatibilidad con CVE

  1. ¿Cuál es el estado actual de Debian en el proceso de CVE?
  2. ¿Por qué no encuentro un determinado nombre CVE?
  3. ¿Dónde puedo obtener más información?

P: ¿Cuál es el estado actual de Debian en el proceso de CVE?

Los avisos de seguridad de Debian han sido declarados compatibles con CVE el 24 de febrero de 2004. Hay disponible más información en el sitio del CVE, incluyendo las respuestas del cuestionario de compatibilidad.

P: ¿Por qué no encuentro un determinado nombre CVE?

La herramienta de seguimiento de seguridad debería tener todos los nombres CVE. Para las otras listas es posible que no encuentre un determinado nombre CVE por alguna de las siguientes razones:

Para más información, consulte la información disponible sobre candidatos a CVE.

P: ¿Dónde puedo obtener más información?

Para más información, visite el sitio web del CVE.