FreeBSD Sicherheit
Einf�hrung
Bei FreeBSD wird Sicherheit gro� geschrieben: Wir arbeiten st�ndig daran, das Betriebssystem so sicher wie m�glich zu machen. Diese Seite erkl�rt, was Sie tun m�ssen, wenn Ihr System von einer Sicherheitsl�cke betroffen ist.
Inhaltsverzeichnis
- FreeBSD Sicherheitsprobleme melden
- Wann wird ein Security Advisory erstellt?
- Aktuelle FreeBSD Sicherheitsl�cken
- FreeBSD Sicherheitshinweise verstehen
- Wie Sie Ihr System aktualisieren k�nnen
- Unterst�tzte FreeBSD-Versionen
- Das FreeBSD-Supportmodell
FreeBSD Sicherheitsprobleme melden
Melden Sie Sicherheitsprobleme im Basissystem direkt an das FreeBSD Security Team oder, falls eine h�here Vertraulichkeit erforderlich ist, PGP-verschl�sselt an das Security-Officer-Team (verwenden Sie dazu den �ffentlichen PGP-Schl�ssel des Security Officers). Weitere Informationen finden Sie auf der Seite FreeBSD Sicherheitsprobleme melden.
Wann wird ein Security Advisory erstellt?
F�r jedes gemeldete Problem wird eine interne Trackingnummer erzeugt. Es sei denn, es handelt sich eindeutig nicht um ein Sicherheitsproblem. Wir verwenden die folgende Checkliste, um zu entscheiden, ob ein Security Advisory n�tig ist (oder nicht):
- Ist es dadurch m�glich, erweiterte Rechte zu erhalten (
Privilege escalation vulnerability
)? - Handelt es sich um ein Code Injection-Problem?
- Handelt sich es um ein Datenleck?
- Des Kernels?
- Eines privilegierten Prozesses?
- Eines Prozesses eines anderen Benutzers?
- Ist das System dadurch �ber Denial of Service-Attacken
verwundbar?
- Dies gilt nur, wenn der Angriff remote erfolgt. Remote hei�t dabei, dass der Angriff aus einer unterschiedlichen Broadcast Domain kommt. ARP und NDP-basierende Attacken fallen also nicht unter diese Kategorie.
- Ist es dadurch m�glich, aus einem Jail zu entkommen (
unassisted jailbreak vulnerability
)? - Handelt es sich um eine Fehlfunktion, durch die unsichere Crypo-Keys generiert werden k�nnten (wie beispielsweise beim PRNG-Bug)?
F�r Probleme, die unter eine dieser Kategorien fallen, wird vermutlich ein Security Advisory ver�ffentlicht werden. Sonstige Probleme werden weiter analysiert, um zu entscheiden, ob ein Security Advisory oder ein Errata Notice ver�ffentlicht wird (oder nicht).
Nachdem entschieden wurde, dass ein Security Advisory erforderlich ist, wird eine CVE-Nummer zugewiesen. Falls diese noch nicht exisitiert, wird eine Nummer aus dem f�r FreeBSD bereitstehenden Pool daf�r verwendet.
Aktuelle FreeBSD Sicherheitsl�cken
Eine vollst�ndige Liste aller bekannten Sicherheitsl�cken des Basissystems finden Sie hier.
FreeBSD Sicherheitshinweise verstehen
Sicherheitshinweise werden an die folgenden FreeBSD-Mailinglisten versendet:
Eine Liste aller bisher ver�ffentlichten Sicherheitshinweise findet sich auf der Seite FreeBSD Security Advisories.
Sicherheitshinweise werden immer mit dem PGP-Schl�ssel des FreeBSD-Security-Officers signiert und gemeinsam mit den zugeh�rigen Patches auf dem Server http://security.FreeBSD.org/ in den Unterverzeichnissen advisories sowie patches archiviert.
Der FreeBSD-Security-Officer gibt Sicherheitshinweise f�r die FreeBSD-Entwicklungszweige -STABLE und Security heraus. F�r -CURRENT (der sich prim�r an FreeBSD-Entwickler wendet), werden hingegen keine Sicherheitshinweise herausgegeben.
-
Die -STABLE-Zweige haben Namen wie stable/10. Auf diesen Zweigen erstellte Versionen tragen Namen wie FreeBSD 10.1-STABLE.
-
Jedes FreeBSD-Release besitzt einen Sicherheits-Zweig. Die Tags der Sicherheits-Zweige haben Namen wie releng/10.1. Die daraus gebauten FreeBSD-Versionen tragen Namen wie FreeBSD 10.1-RELEASE-p4.
Sicherheitshinweise f�r die FreeBSD Ports-Sammlung werden auf der Seite FreeBSD VuXML ver�ffentlicht.
Wie Sie Ihr System aktualisieren k�nnen
Benutzer, die eine Bin�rversion von FreeBSD (beispielsweise 12.0 oder 11.2) installiert haben, k�nnen ihr System einfach wie folgt aktualisieren:
# freebsd-update fetch# freebsd-update install
Sollte dieser Weg fehlschlagen, folgen Sie bitte den Anweisungen des jeweiligen Sicherheitshinweises.
Beachten Sie, dass diese Art der Aktualisierung nur m�glich ist, wenn Sie eine Bin�rversion von FreeBSD installiert haben. Haben Sie Ihr System hingegen aus dem Quellcode gebaut, m�ssen Sie Ihren Quellcodebaum aktualisieren und das System neu bauen.
Unterst�tzte FreeBSD-Versionen
Jedes Release wird nur eine bestimmte Zeit vom Security Officer unterst�tzt.
Die folgende Tabelle enth�lt die Bezeichnungen und erwartete Lebenszeit aller aktuell unterst�tzten Entwicklungszweige (und deren Releases). Die Spalte Erwartetes EoL (end-of-life) gibt den fr�hestm�glichen Zeitpunkt an, an dem die Unterst�tzung f�r einen bestimmten Zweig eingestellt wird. Beachten Sie, dass dieser Zeitpunkt (falls n�tig) auch nach hinten verschoben werden kann.
�ltere Versionen werden nicht mehr unterst�tzt und wir empfehlen allen Benutzern dringend, ihr System auf eine unterst�tzte Version zu aktualisieren:
Zweig | Release | Releasedatum | Erwartetes EoL |
---|---|---|---|
stable/12 | n/a | n/a | 30. Juni 2024 |
releng/12.1 | 12.1-RELEASE | 4. November 2019 | 12.2-RELEASE + 3 months |
stable/11 | n/a | n/a | 30. September 2021 |
releng/11.4 | 11.4-RELEASE | 16. Juni 2020 | 30. September 2021 |
W�hrend der Entwicklung eines Releases werden -BETA- und -RC-Releases ver�ffentlicht. Diese Releases werden nur (im Rahmen der M�glichkeiten) f�r einige Wochen unterst�tzt und werden daher nicht auf dieser Seite aufgef�hrt. Wir raten Benutzern dringend davon ab, diese Versionen auf einem Produktivsystem einzusetzen.
Das FreeBSD-Supportmodell
Unter dem aktuellen Supportmodell wird jede Hauptversion explizit f�r 5 Jahre unterst�tzt, w�hrend jede Unterversion nur noch 3 Monate nach Erscheinen der folgenden Unterversion unterst�tzt wird.
Diese Entscheidung wurde im Februar 2015 getroffen. Die Gr�nde daf�r k�nnen in der offiziellen Ank�ndigung nachgelesen werden.