7.2. Avvisi di sicurezza Debian
Debian Security Advisories (DSAs) are made whenever a security vulnerability is discovered that affects a Debian package. These advisories, signed by one of the Security Team members, include information of the versions affected as well as the location of the updates. This information is:
Numero di versione della correzione.
Tipo di problema.
Se la vulnerabilità è sfruttabile da remoto o solo localmente.
Breve descrizione del pacchetto.
Descrizione del problema.
Descrizione dell'exploit.
Descrizione della correzione.
DSAs are published both on
http://www.debian.org/ and in the
http://www.debian.org/security/. Usually this does not happen until the website is rebuilt (every four hours) so they might not be present immediately. The preferred channel is the debian-security-announce mailing list.
Gli utenti interessati possono comunque (e questo viene fatto in alcuni portali relativi a Debian) utilizzare il canale RDF per scaricare automaticamente gli avvisi di sicurezza sul loro desktop. Alcune applicazioni, come
Evolution
(un client e-mail ed assistente per informazioni personali) e
Multiticker
(un'applet di GNOME), possono essere usate per reperire gli avvisi automaticamente. Il canale RDF è disponibile su
http://www.debian.org/security/dsa.rdf.
I DSA pubblicati sul sito potrebbero essere aggiornati dopo essere stati spediti alle mailing-list pubbliche. Un aggiornamento tipico è aggiungere riferimenti incrociati ai database delle vulnerabilità di sicurezza. Inoltre, le traduzioni
dei DSA non vengono spedite alle mailing list di sicurezza ma incluse direttamente nel sito.
7.2.1. Riferimenti incrociati sulle vulnerabilità
Advantages of adding cross references to these vulnerability databases are:
Rende agli utenti Debian più facile vedere e tenere traccia di quali avvisi pubblicati sono già stati coperti da Debian.
Gli amministratori di sistema possono imparare di più sulle vulnerabilità ed il loro impatto seguendo i riferimenti incrociati.
7.2.2. Compatibilità con CVE
Gli sviluppatori Debian capiscono la necessità di fornire informazioni accurate ed aggiornate sullo stato della sicurezza della distribuzione Debian, permettendo agli utenti di gestire i rischi associati con le nuove vulnerabilità della sicurezza. CVE ci permette di fornire riferimenti standardizzati che permettono agli utenti di sviluppare un processo di
http://www.cve.mitre.org/compatible/enterprise.html.
Il progetto
http://cve.mitre.org viene mantenuto dalla MITRE Corporation e fornisce un elenco standardizzato per le vulnerabilità ed i problemi di sicurezza.
Debian crede che fornire agli utenti informazioni aggiuntive relative alle questioni di sicurezza della distribuzione Debian sia estremamente importante. L'inclusione dei nomi CVE negli avvisi aiuta gli utenti ad associare delle generiche vulnerabilità con gli aggiornamenti Debian, il che riduce il tempo necessario per gestire le vulnerabilità che affliggono i nostri utenti. Inoltre, facilita la gestione della sicurezza in un ambiente dove strumenti di sicurezza con CVE abilitato - come sistemi di rilevamento d'intrusione su rete o su di un host, o strumenti per la valutazione di vulnerabilità - sono già in uso indipendentemente dal fatto che siano basati sulla distribuzione Debian.
Debian provides CVE names for all DSAs released since September 1998. All of the advisories can be retrieved on the Debian web site, and announcements related to new vulnerabilities include CVE names if available at the time of their release. Advisories associated with a given CVE name can be searched directly through the Debian Security Tracker (see below).
In alcuni casi potreste non trovare un dato nome CVE tra gli avvisi pubblicati, per esempio perché:
Non ci sono prodotti Debian affetti da quella specifica vulnerabilità.
Un avviso è stato pubblicato prima che il nome CVE sia stato assegnato ad una data vulnerabilità (cercate un aggiornamento sul sito web).