Debian och CVE-kompatibilitet
Debianutvecklarna förstår att det är viktigt att tillhandahålla korrekt och àjourförd information om Debiandistributionens säkerhetsstatus, för att göra det möjligt för våra användare att hantera de risker som är förbundna med nya säkerhetssårbarheter. Projektet Common Vulnerabilities and Exposures (CVE) gör det möjligt för oss att presentera standardiserade referenser, vilket i sin tur möjliggör för användare att utveckla en säkerhetshanteringsprocess som använder CVE. CVE tillhandahåller en förteckning över standardiserade namn på sårbarheter och säkerhetshål.
Debianprojektet anser det vara av största vikt att användare har tillgång till ytterligare information i samband med de säkerhetsproblem som berör Debiandistributionen. Genom att inkludera CVE-namnen i bulletinerna är det enklare för våra användare att förbinda allmän information om sårbarheter med specifika uppdateringar från Debian, något som reducerar den tid våra användare behöver lägga på att hantera de sårbarheter som påverkar dem.
Att ha tillgång till gemensamma referenser gör det även enklare för de som hanterar säkerhetsfrågor i miljöer där säkerhetsverktyg med stöd för CVE används, till exempel system för att upptäcka intrång i nätverk eller datorer, eller verktyg för säkerhetsvärdering redan har installerats, oavsett om de är baserat på Debiandistributionen eller ej.
Debianprojektet har bifogat CVE-namn på alla säkerhetsbulletiner (DSA:er) som släppts sedan september 1998 under ett utvärderingsprojekt som påbörjades under augusti 2002. Alla bulletiner kan hämtas från Debians webbplats, och bulletiner för nya sårbarheter innehåller CVE-namn om dessa är tillgängliga vid den tidpunkt bulletinerna sänds ut.
Debians säkerhetsgrupps spårare innehåller den officiella listan över CVE-namn, motsvarande Debianpaket, Debiansäkerhetsbulletiner och felrapportnummer. Du kan söka i den baserat på paketnamn eller på DSA-/CVE-namn, och innehåller data sedan utgivningen av Debian Woody.
Vanliga frågor om CVE-status
- Vad är Debians aktuella status i CVE-processen?
- Varför hittar jag inte ett specifikt CVE-namn?
- Var hittar jag ytterligare information?
F: Vad är Debians aktuella status i CVE-processen?
Debians säkerhetsbulletiner deklarerades CVE-kompatibla den 24 februari 2004. Ytterligare information finns på CVE:s webbplats, bland annat duglighetsfrågeformuläret.
F: Varför hittar jag inte ett specifikt CVE-namn?
Säkerhetsspåraren skall innehålla alla CVE-namn. För de andra listorna kan det hända att du inte inte hittar ett givet CVE-namn i publicerade bulletiner:
- Inga produkter i Debian påverkas av sårbarheten.
- Ingen bulletin har ännu publicerats för sårbarheten.
- En bulletin publicerades innan ett CVE-namn tilldelades sårbarheten.
F: Var hittar jag ytterligare information?
Besök CVE:s webbplats för ytterligare information.