FreeBSD Sicherheitsprobleme melden
Inhalt
- Sicherheitsprobleme melden
- Der FreeBSD Security-Officer
- Umgang mit Informationen
- Unterst�tzte FreeBSD-Versionen
- Nicht mehr unterst�tzte FreeBSD-Versionen
Sicherheitsprobleme melden
Melden Sie Sicherheitsprobleme in FreeBSD direkt an das Security-Team oder, falls eine h�here Vertraulichkeit erforderlich ist, PGP-verschl�sselt an das Security-Officer-Team (verwenden Sie dazu den �ffentlichen PGP-Schl�ssel des Security Officers).
Sicherheitsprobleme, die die Ports-Sammlung betreffen, sollten hingegen an das FreeBSD Ports Security Team gemeldet werden.
Wenn Sie ein Problem melden, geben Sie bitte mindestens folgende Informationen an:
- Eine Beschreibung des Sicherheitsproblems.
- Welche FreeBSD-Versionen betroffen sind.
- Wie das Problem umgangen werden kann.
- Wenn m�glich, reichen Sie bitte auch eine m�gliche Fehlerbehebung ein.
Versuchen Sie dabei soweit als m�glich die entsprechenden Vorlagen f�r Sicherheitshinweise und Problemhinweise zu verwenden, um Ihre Umgebung, die Beschreibung des Problems, dessen Auswirkungen sowie (falls vorhanden) einen Workaround zu dokumentieren.
Der Security-Officer oder ein Mitglied des Security-Officer-Teams wird Sie ansprechen, nachdem Sie ein Problem gemeldet haben.
Spam-Filter
Aufgrund des hohen Spam-Aufkommen durchlaufen alle an die Hauptadresse des Security-Teams gerichteten E-Mails einen Spam-Filter. K�nnen Sie den FreeBSD Security Officer oder das FreeBSD Security Team nicht erreichen, weil Ihre E-Mail vom Spam-Filter verworfen wird (oder falls Sie vermuten, dass dies der Fall ist), so senden Sie Ihre E-Mail bitte an die Adresse security-officer-XXXX@FreeBSD.org, wobei Sie XXXX durch 3432 ersetzen. Beachten Sie, dass diese Adresse regelm��ig ge�ndert wird. Alle E-Mails, die Sie an diese Adresse senden, werden an das FreeBSD Security Officer Team weitergeleitet.
Der FreeBSD Security-Officer und das Security-Officer-Team
Damit Sicherheitsprobleme schnell bearbeitet werden, werden E-Mails an den Security-Officer Alias <[email protected]> an folgende Personen weitergeleitet:
Gordon Tetlow <[email protected]> | Security Officer |
Ed Maste <[email protected]> | Deputy Security Officer |
Xin Li <[email protected]> | Security Officer Emeritus |
Dag-Erling Sm�rgrav <[email protected]> | Security Officer Emeritus |
Der Security-Officer wird vom FreeBSD Security Team (<[email protected]>), einer von ihm ausgew�hlten Gruppe von Committern, unterst�tzt.
Umgang mit Informationen
Generell ver�ffentlicht der Security-Officer nach einer angemessenen Zeit alle Informationen �ber ein Sicherheitsproblem. Diese Zeitspanne erlaubt eine sichere Analyse und die Behebung des Sicherheitsproblems und dient auch zum Testen der Korrektur sowie der Koordination mit anderen Betroffenen.
Der Security-Officer wird einen oder mehrere der Administratoren des FreeBSD-Clusters �ber Sicherheitsprobleme informieren, die Ressourcen des FreeBSD Projects unmittelbar bedrohen.
Der Security-Officer kann weitere FreeBSD-Entwickler oder externe Entwickler hinzuziehen, wenn dies zur Beurteilung oder L�sung des Sicherheitsproblems notwendig ist. Ein diskretes Vorgehen verhindert die unn�tige Verbreitung des Sicherheitsproblems. Alle hinzugezogenen Experten handeln entsprechend den Richtlinien des Security-Officers. In der Vergangenheit wurden Experten wegen ihrer immensen Erfahrungen mit komplexen Komponenten des Systems, wie dem FFS, dem VM-System und dem Netzwerkstack, hinzugezogen.
Wenn gerade ein Release erstellt wird, kann der FreeBSD Release-Engineer ebenfalls �ber das Sicherheitsproblem und dessen Ausma�e unterrichtet werden. Damit k�nnen fundierte Entscheidungen �ber den Ablauf der Release-Erstellung und die Auswirkungen der Sicherheitsprobleme auf das kommende Release getroffen werden. Auf Anfrage gibt der Security-Officer nur die Existenz des Sicherheitsproblems und dessen Schwere an den Release-Engineer weiter.
Der Security-Officer arbeitet eng mit anderen Organisationen zusammen. Dazu z�hlen Dritthersteller, die Quellcode von FreeBSD benutzen (OpenBSD, NetBSD, DragonFlyBSD, Apple und andere Hersteller, die Software auf Basis von FreeBSD vertreiben, sowie die Linux-Vendor-Security Liste) und Organisationen, die Sicherheitsproblemen und Sicherheitsvorf�llen nachgehen, beispielsweise das CERT. Oft haben Sicherheitsprobleme Auswirkungen, die �ber FreeBSD hinausgehen. Sie k�nnen auch (wenngleich vielleicht weniger h�ufig) gro�e Teile des Internets betreffen. Unter diesen Umst�nden wird der Security-Officer andere Organisationen �ber das Sicherheitsproblem informieren wollen. Wenn Sie das nicht w�nschen, vermerken Sie das bitte explizit beim Melden eines Sicherheitsproblems.
Besondere Anforderungen an den Umgang mit den eingereichten Information m�ssen ausdr�cklich angegeben werden.
Wenn die Ver�ffentlichung des Sicherheitsproblems mit dem Einsender und/oder anderen Lieferanten abgestimmt werden soll, so muss dies ausdr�cklich beim Einreichen des Problems angegeben werden. Ist dies nicht vermerkt, legt der Security-Officer einen Zeitplan f�r die Ver�ffentlichung des Problems fest. Der Zeitplan ber�cksichtigt die m�glichst schnelle Ver�ffentlichung und die zum Testen von L�sungen ben�tigte Zeit. Wenn das Problem schon in �ffentlichen Foren (wie Bugtraq) diskutiert wird und ausgenutzt wird, kann der Security-Officer einen anderen als den vorgeschlagenen Zeitplan verwenden. Dies dient dem maximalen Schutz der Benutzergemeinde.
Eingesendete Sicherheitsprobleme k�nnen mit PGP gesch�tzt werden. Auf Wunsch werden die Antworten ebenfalls mit PGP gesch�tzt.