Header And Logo

• Startseite

• �ber FreeBSD
  • F�r Einsteiger
  • Eigenschaften
  • Advocacy
  • Marketing
  • Privacy Policy

• Bezugsquellen
  • Release Information
  • Release Engineering

• Dokumentation
  • FAQ
  • Handbuch
  • Porter-Handbuch
  • Entwickler-Handbuch
  • Manualpages
  • Presentations and Papers
  • Documentation Project Primer
  • Alle B�cher und Artikel

• Community
  • Mailinglisten
  • Forum
  • User Groups
  • Events
  • FreeBSD Journal
  • Q&A (extern)

• Entwicklung
  • Projektideen
  • Subversion-Repository
  • Git-Spiegelserver
  • Phabricator (Code Review)
  • Wiki
  • Continuous Integration Service

• Hilfe
  • Kommerzieller Support
  • Sicherheit
  • Problemberichte
  • Problembericht erstellen

• Foundation
  • Geldspende
  • Hardwarespende

FreeBSD Sicherheitsprobleme melden

Inhalt

• Sicherheitsprobleme melden
• Der FreeBSD Security-Officer
• Umgang mit Informationen
• Unterst�tzte FreeBSD-Versionen
• Nicht mehr unterst�tzte FreeBSD-Versionen

Sicherheitsprobleme melden

Melden Sie Sicherheitsprobleme in FreeBSD direkt an das Security-Team oder, falls eine h�here Vertraulichkeit erforderlich ist, PGP-verschl�sselt an das Security-Officer-Team (verwenden Sie dazu den �ffentlichen PGP-Schl�ssel des Security Officers).

Sicherheitsprobleme, die die Ports-Sammlung betreffen, sollten hingegen an das FreeBSD Ports Security Team gemeldet werden.

Wenn Sie ein Problem melden, geben Sie bitte mindestens folgende Informationen an:

• Eine Beschreibung des Sicherheitsproblems.
• Welche FreeBSD-Versionen betroffen sind.
• Wie das Problem umgangen werden kann.
• Wenn m�glich, reichen Sie bitte auch eine m�gliche Fehlerbehebung ein.

Versuchen Sie dabei soweit als m�glich die entsprechenden Vorlagen f�r Sicherheitshinweise und Problemhinweise zu verwenden, um Ihre Umgebung, die Beschreibung des Problems, dessen Auswirkungen sowie (falls vorhanden) einen Workaround zu dokumentieren.

Der Security-Officer oder ein Mitglied des Security-Officer-Teams wird Sie ansprechen, nachdem Sie ein Problem gemeldet haben.

Spam-Filter

Aufgrund des hohen Spam-Aufkommen durchlaufen alle an die Hauptadresse des Security-Teams gerichteten E-Mails einen Spam-Filter. K�nnen Sie den FreeBSD Security Officer oder das FreeBSD Security Team nicht erreichen, weil Ihre E-Mail vom Spam-Filter verworfen wird (oder falls Sie vermuten, dass dies der Fall ist), so senden Sie Ihre E-Mail bitte an die Adresse security-officer-XXXX@FreeBSD.org, wobei Sie XXXX durch 3432 ersetzen. Beachten Sie, dass diese Adresse regelm��ig ge�ndert wird. Alle E-Mails, die Sie an diese Adresse senden, werden an das FreeBSD Security Officer Team weitergeleitet.

Der FreeBSD Security-Officer und das Security-Officer-Team

Damit Sicherheitsprobleme schnell bearbeitet werden, werden E-Mails an den Security-Officer Alias <[email protected]> an folgende Personen weitergeleitet:

Gordon Tetlow <[email protected]>	Security Officer
Ed Maste <[email protected]>	Deputy Security Officer
Xin Li <[email protected]>	Security Officer Emeritus
Dag-Erling Sm�rgrav <[email protected]>	Security Officer Emeritus

Der Security-Officer wird vom FreeBSD Security Team (<[email protected]>), einer von ihm ausgew�hlten Gruppe von Committern, unterst�tzt.

Umgang mit Informationen

Generell ver�ffentlicht der Security-Officer nach einer angemessenen Zeit alle Informationen �ber ein Sicherheitsproblem. Diese Zeitspanne erlaubt eine sichere Analyse und die Behebung des Sicherheitsproblems und dient auch zum Testen der Korrektur sowie der Koordination mit anderen Betroffenen.

Der Security-Officer wird einen oder mehrere der Administratoren des FreeBSD-Clusters �ber Sicherheitsprobleme informieren, die Ressourcen des FreeBSD Projects unmittelbar bedrohen.

Der Security-Officer kann weitere FreeBSD-Entwickler oder externe Entwickler hinzuziehen, wenn dies zur Beurteilung oder L�sung des Sicherheitsproblems notwendig ist. Ein diskretes Vorgehen verhindert die unn�tige Verbreitung des Sicherheitsproblems. Alle hinzugezogenen Experten handeln entsprechend den Richtlinien des Security-Officers. In der Vergangenheit wurden Experten wegen ihrer immensen Erfahrungen mit komplexen Komponenten des Systems, wie dem FFS, dem VM-System und dem Netzwerkstack, hinzugezogen.

Wenn gerade ein Release erstellt wird, kann der FreeBSD Release-Engineer ebenfalls �ber das Sicherheitsproblem und dessen Ausma�e unterrichtet werden. Damit k�nnen fundierte Entscheidungen �ber den Ablauf der Release-Erstellung und die Auswirkungen der Sicherheitsprobleme auf das kommende Release getroffen werden. Auf Anfrage gibt der Security-Officer nur die Existenz des Sicherheitsproblems und dessen Schwere an den Release-Engineer weiter.

Der Security-Officer arbeitet eng mit anderen Organisationen zusammen. Dazu z�hlen Dritthersteller, die Quellcode von FreeBSD benutzen (OpenBSD, NetBSD, DragonFlyBSD, Apple und andere Hersteller, die Software auf Basis von FreeBSD vertreiben, sowie die Linux-Vendor-Security Liste) und Organisationen, die Sicherheitsproblemen und Sicherheitsvorf�llen nachgehen, beispielsweise das CERT. Oft haben Sicherheitsprobleme Auswirkungen, die �ber FreeBSD hinausgehen. Sie k�nnen auch (wenngleich vielleicht weniger h�ufig) gro�e Teile des Internets betreffen. Unter diesen Umst�nden wird der Security-Officer andere Organisationen �ber das Sicherheitsproblem informieren wollen. Wenn Sie das nicht w�nschen, vermerken Sie das bitte explizit beim Melden eines Sicherheitsproblems.

Besondere Anforderungen an den Umgang mit den eingereichten Information m�ssen ausdr�cklich angegeben werden.

Wenn die Ver�ffentlichung des Sicherheitsproblems mit dem Einsender und/oder anderen Lieferanten abgestimmt werden soll, so muss dies ausdr�cklich beim Einreichen des Problems angegeben werden. Ist dies nicht vermerkt, legt der Security-Officer einen Zeitplan f�r die Ver�ffentlichung des Problems fest. Der Zeitplan ber�cksichtigt die m�glichst schnelle Ver�ffentlichung und die zum Testen von L�sungen ben�tigte Zeit. Wenn das Problem schon in �ffentlichen Foren (wie Bugtraq) diskutiert wird und ausgenutzt wird, kann der Security-Officer einen anderen als den vorgeschlagenen Zeitplan verwenden. Dies dient dem maximalen Schutz der Benutzergemeinde.

Eingesendete Sicherheitsprobleme k�nnen mit PGP gesch�tzt werden. Auf Wunsch werden die Antworten ebenfalls mit PGP gesch�tzt.