Debian-Sicherheits-Ankündigungen (DSA) werden erstellt, sobald eine Sicherheitslücke entdeckt wird, die ein Debian-Paket betrifft. Diese Ankündigungen, die von einem Mitglied des Sicherheitsteams signiert sind, enthalten Informationen zu den betroffenen Versionen und den Orten der Aktualisierungen und ihrer MD5-Summen. Die Informationen sind:
Versionsnummer der Ausbesserung
Art des Problems
Ob es aus der Ferne oder lokal ausnutzbar ist
Kurze Beschreibung des Pakets
Beschreibung des Problems
Beschreibung des Exploits
Beschreibung der Ausbesserung
DSAs werden sowohl auf der
http://www.de.debian.org/ als auch auf den
http://www.debian.org/security/ veröffentlicht. Das passiert normalerweise nicht, bis die Website neu erstellt wurde (alle vier Stunden). Daher könnten sie nicht sofort vorhanden sein. Somit ist die vorzugswürdige Informationsquelle die Mailingliste debian-security-announce.
Interessierte Benutzer können auch den RDF-Kanal verwenden, um die DSAs automatisch auf ihren Desktop herunterzuladen (dies wird auf einigen Portalen über Debian gemacht). Einige Anwendungen, wie etwa
Evolution
(ein E-Mail-Client und Hilfsprogramm für persönliche Informationen) und
Multiticker
(ein GNOME-Applet) können verwendet werden, um die Ankündigungen automatisch herunterzuladen. Der RDF-Kanal befindet sich unter
http://www.debian.org/security/dsa.rdf.
DSAs, die auf der Webseite veröffentlicht wurden, können aktualisiert werden, nachdem sie an öffentliche Mailinglisten verschickt wurden. Eine typische Aktualisierung ist, einen Querverweis auf Datenbanken mit Sicherheitslücken hinzuzufügen. Auch Übersetzungen der DSAs
werden nicht an die Sicherheitsmailinglisten geschickt, sondern sind direkt auf der Webseite enthalten.
7.2.1. Querverweise der Verwundbarkeiten
Das Hinzufügen von Querverweisen auf diese Sicherheitsdatenbanken hat folgende Vorteile:
Es erleichtert Benutzern von Debian zu erkennen und nachzuvollziehen, welche allgemeinen (veröffentlichten) Ankündigungen schon von Debian abgedeckt sind.
Systemadministratoren können mehr über die Verwundbarkeit und ihre Auswirkungen lernen, wenn sie den Querverweisen folgen.
7.2.2. CVE-Kompatibilität
Die Entwickler von Debian wissen von der Notwendigkeit, genaue und aktuelle Informationen über den Lage der Sicherheit in der Debian-Distribution zur Verfügung zu stellen. Dies ermöglicht es den Benutzern, mit den Risiken durch neue Sicherheitslücken umzugehen. CVE versetzt uns in die Lage, standardisierte Verweise anzubieten, die es Benutzern ermöglicht, einen
http://www.cve.mitre.org/compatible/enterprise.html zu entwickeln.
Das Projekt
http://cve.mitre.org wird von der MITRE Corporation betreut und stellt eine Liste von standardisierten Bezeichnungen für Verwundbarkeiten und Sicherheitslücken zur Verfügung.
Debian ist überzeugt, dass es außerordentlich wichtig ist, die Benutzer mit zusätzlichen Informationen im Zusammenhang mit Sicherheitsproblemen, welche die Debian-Distribution betreffen, zu versorgen. Indem CVE-Bezeichnungen in den Ankündigungen enthalten sind, können Benutzer leichter allgemeine Verwundbarkeiten mit bestimmten Aktualisierungen von Debian in Verbindung bringen. Dies verringert die Zeit, die benötigt wird, um Verwundbarkeiten, die unsere Benutzer betreffen, abzuarbeiten. Außerdem vereinfacht es die Organisation der Sicherheit in einer Umgebung, in der schon Sicherheitswerkzeuge, die CVE verwenden, wie Erkennungssysteme von Eindringlingen in Netzwerk oder Host oder Werkzeuge zur Bewertung der Sicherheit eingesetzt werden, unabhängig davon, ob sie auf der Debian-Distribution beruhen.
Debian stellt CVE-Bezeichnungen sind in allen DSAs seit September 1998 zur Verfügung. Alle Ankündigungen können auf der Webseite von Debian abgerufen werden. Auch Ankündigungen von neuen Verwundbarkeiten enthalten CVE-Bezeichnungen, wenn sie zum Zeitpunkt ihrer Veröffentlichung verfügbar waren. Ankündigungen, die mit einer bestimmten CVE-Bezeichnung verbunden sind, können direkt über Debians Sicherheitsdatenbank (Debian Security Tracker) gesucht werden (siehe unten).
In einige Fällen finden Sie eine bestimmte CVE-Bezeichnung in veröffentlichten Ankündigungen nicht. Beispiele dafür sind:
Keine Produkte von Debian sind von der Verwundbarkeit betroffen.
Eine Ankündigung wurde veröffentlicht, bevor eine CVE-Bezeichnung einer bestimmten Verwundbarkeit zugewiesen wurde (sehen Sie auf der Webseite nach einer Aktualisierung).