7.2. Alertes de sécurité Debian
Les alertes de sécurité Debian (DSA) sont effectuées à chaque fois qu'une faille affectant un paquet Debian est découverte. Ces alertes, signées par l'un des membres de l'équipe de sécurité, contiennent des renseignements sur les versions touchées ainsi que l'emplacement des mises à jour. Ces informations sont :
numéro de version pour le correctif ;
type de problème ;
s'il est exploitable à distance ou localement ;
description courte du paquet ;
description du problème ;
description du stratagème ;
description du correctif.
Les DSA sont publiées sur
htttp://www.debian.org/ et dans les
htttp://www.debian.org/security/. Cela ne se produit habituellement pas avant que le site web ne soit reconstruit (toutes les quatre heures), elles peuvent donc ne pas être immédiatement présentes. Le canal préféré est la liste de diffusion debian-security-announce.
Les utilisateurs intéressés peuvent, cependant (et c'est fait sur quelques portails relatifs à Debian) utiliser le flux RDF pour télécharger automatiquement les DSA sur leur bureau. Certaines applications, comme
Evolution
(un client de messagerie et assistant d'informations personnelles) et
Multiticker
(une applette GNOME) peuvent être utilisées pour récupérer les alertes automatiquement. Le flux RDF est disponible à
htttp://www.debian.org/security/dsa.rdf.
Les DSA publiées sur le site web peuvent être mises à jour après avoir été envoyées sur les listes de diffusion publiques. Une mise à jour courante est d'ajouter des références croisées vers les bases de données des failles de sécurité. Les traductions
des DSA ne sont pas envoyées aux listes de diffusion de sécurité, mais elles sont directement intégrées au site web.
7.2.1. Références croisées des failles
Les avantages d'ajouter les références croisées vers ces bases de données de failles sont que :
cela permet plus facilement aux utilisateurs de Debian de voir et de suivre quelles alertes générales (publiées) ont déjà été couvertes par Debian ;
les administrateurs système peuvent en apprendre plus sur la faille et ses impacts en suivant les références croisées ;
Les développeurs Debian comprennent la nécessité de fournir une information précise et à jour de l'état de sécurité de la distribution Debian, permettant aux utilisateurs de gérer le risque associé aux nouvelles failles de sécurité. CVE nous permet de fournir des références standardisées qui permettent aux utilisateurs de développer un
htttp://www.cve.mitre.org/compatible/enterprise.html.
Le projet
htttp://cve.mitre.org est maintenu par la société MITRE et fournit une liste des noms standardisés pour les failles et expositions de sécurité.
Debian estime que fournir aux utilisateurs des informations supplémentaires liées aux problèmes de sécurité qui touchent la distribution Debian est extrêmement important. L'inclusion des noms CVE dans les alertes aide les utilisateurs à associer des failles génériques avec les mises à jour spécifiques de Debian, ce qui réduit le temps passé à gérer les failles qui concernent nos utilisateurs. Cela facilite également la gestion du risque dans un environnement où sont déployés des outils de sécurité gérant CVE — comme des systèmes de détection d'intrusion d'hôte ou de réseau ou des outils de vérification de failles — qu'ils soient ou non basés sur la distribution Debian.
Debian fournit maintenant les noms CVE pour toutes les DSA publiées depuis septembre 1998. Toutes les alertes peuvent être récupérées sur le site web Debian et les annonces liées aux nouvelles failles contiennent les noms CVS quand ils sont disponibles lors de leur publication. Les alertes liées à un nom CVE donné peuvent être cherchées directement avec le système de suivi en sécurité Debian (voir ci-après).
Dans certains cas, vous pouvez ne pas trouver un nom CVE donné dans les alertes publiées par exemple parce que :