7.2. Debian Security Advisories
Debian Security Advisories são avisos emitidos quandos uma vulnerabilidade de segurança que afeta um pacote Debian é descoberta. Estes avisos, assinados por um membro do Security Team, inclui informação das versões afetadas assim como a localização das atualizações e seus MD5sums. Esta informação consiste de:
número da versão para correção.
tipo de problema.
se ele é remoto ou localmente explorável.
pequena descriçãod do pacote.
descrição do problema.
descrição da exploração.
descrição da correção.
DSAs are published both on
http://www.debian.org/ and in the
http://www.debian.org/security/. Usually this does not happen until the website is rebuilt (every four hours) so they might not be present immediately. The preferred channel is the debian-security-announce mailing list.
Usuários interessados podem, porém, usar o canal RDF para baixar automaticamente as DSAs para seu computador. Algumas aplicações, como o
Evolution
(um cliente de email e assistente de informações pessoais) e o
Multiticker
(um applet do GNOME), podem ser usados para baixar os avisos automaticamente. O canal RDF está disponível em
http://www.debian.org/security/dsa.rdf.
Os DSAs publicados no website podem ser atualizados após enviados para as listas de email. Uma atualização comum é adicionada através de referências ao banco de dados de vulnerabilidades de segurança. Além disso, traduções
dos DSAs não são enviadas para as listas de email mas são diretamente incluídas no site.
7.2.1. Referências sobre vulnerabilidades
Uma das vantagens de adicionar referências ao banco de dados de vulnerabilidades é que:
torna fácil aos usuários Debian ver e tratar com recomendações publicadas que já tenham sido resolvidas pelo Debian.
administradores de sistema podem aprender mais sobre vulnerabilidades e seu impacto através das referências.
7.2.2. Compatibilidade CVE
Desenvolvedores Debian entendeream que precisavam fornecer precisas e atualizadas informações de segurança para a distribuição, permitindo aos usuários gerenciar o risco associado com novas vulnerabilidades. CVE fornece referências padronizadas que permitem aos usuários desenvolver um
http://www.cve.mitre.org/compatible/enterprise.html.
O projeto
http://cve.mitre.org é mantido pela MITRE Corporation e fornece uma lista de nomes padronizados para vulnerabilidades e exposições de segurança.
Debian acredita que fornecer aos usuários informações relacionadas a segurança que afetem a distribuição é extremamente importante. A inclusão dos nomes CVE em avisos ajudam os usuários a associar vulnerabilidades genéricas com atualizações específicas, com redução do tempo gasto para manusear as vulnerabilidades. Além disso, é fácil o gerenciamento da segurança em um ambiente onde já existem ferramentas que utilizam o CVE, como redes ou sistemas de deteccão de invasão, ou ferramentas de avalição de vulnerabilidades, mesmo que elas não sejam baseadas em uma distribuição Debian.
Debian provides CVE names for all DSAs released since September 1998. All of the advisories can be retrieved on the Debian web site, and announcements related to new vulnerabilities include CVE names if available at the time of their release. Advisories associated with a given CVE name can be searched directly through the Debian Security Tracker (see below).
Em alguns casos você pode nãO encontrar um CVE em avisos publicados porque: