Informations sur la s�curit� sous FreeBSD
Introduction
Cette page web a �t� con�ue afin d'accompagner les utilisateurs, nouveaux venus ou exp�riment�s, dans le domaine de la s�curit� de FreeBSD. FreeBSD prend la s�curit� tr�s au s�rieux et travaille sans cesse pour rendre le syst�me d'exploitation aussi s�r que possible.
Vous trouverez ici des informations compl�mentaires, ou des liens vers d'autres ressources, qui vous aideront � prot�ger votre syst�me contre diff�rents types d'attaques, sur qui contacter si vous trouvez une �ventuelle faille, etc. Les programmeurs syst�mes seront heureux de trouver une section traitant des techniques � employer pour �viter avant toute chose de cr�er soi-m�me des failles.
Table des Mati�res
- Comment et o� rapporter un probl�me de s�curit� dans FreeBSD
- Informations sur l'officier de s�curit� FreeBSD
- Charte de l'officier de s�curit� et de son �quipe
- Politique de gestion de l'information
- Avis de s�curit� FreeBSD
- Lire les avis de s�curit� FreeBSD
Tout probl�me de s�curit� FreeBSD doit �tre rapport� � l'�quipe de s�curit� FreeBSD ou, si plus de confidentialit� est n�cessaire, � l'�quipe de l'officier de s�curit�. Chaque rapport devrait contenir au moins:
- Une description de la vuln�rabilit�;
- Quelles version de FreeBSD semblent affect�es si possible;
- Toute solution potentielle;
- Un exemple de code si possible.
Apr�s que cette information ait �t� rapport�e, l'officier de s�curit� ou un membre de l'�quipe de s�curit� reviendra � vous.
L'officier de s�curit� FreeBSD et l'equipe de l'officier de S�curit�
Pour mieux coordonner les �changes avec d'autres personnes dans la communaut� de la s�curit�, FreeBSD a une personne centrale pour toute communication li�e � la s�curit�: l'officier de s�curit� FreeBSD.
Si vous voulez contacter le projet FreeBSD � propos d'un probl�me de s�curit� possible, vous devez donc envoyez un courrier �lectronique � l'officier de s�curit� avec une description de ce que vous avez trouv� et le type de vuln�rabilit� qu'il pr�sente.
Pour que le projet FreeBSD r�ponde plus rapidement aux rapports de vuln�rabilit�, il y a quatre membres derri�re l'alias courrier �lectronique de l'officier de s�curit�: l'officier de s�curit�, l'officier de s�curit� �m�rite, l'officier de s�curit� adjoint, et un membre de l'�quipe de base. En cons�quence, les messages envoy�s � <[email protected]> seront transmis �:
| Colin Percival <[email protected]> | Officier de s�curit� |
| Jacques Vidrine <[email protected]> | Officier de s�curit� �m�rite |
| Simon L. B. Nielsen <[email protected]> | Officier de s�curit� adjoint |
| Robert Watson <[email protected]> | Liaison avec l'�quipe de base FreeBSD, liaison avec
l'�quipe charg�e des versions, liaison avec le projet TrustedBSD, expert en architecture de la s�curit� syst�me |
L'Officier de s�curit� est support� par l'�quipe de s�curit� FreeBSD <[email protected]>, un petit groupe de participants contr�l� par l'officier de s�curit�.
Veuillez utiliser la cl� PGP de l'officier de s�curit� pour chiffrer vos messages � l'officier de s�curit� si appropri�.
Politiques de gestion de l'information
En g�n�ral, l'officier de s�curit� FreeBSD privil�gie la transparence totale sur les vuln�rabilit�s apr�s un delai raisonnable pour permettre d'analyser et de corriger une vuln�rabilit�, ainsi que de tester de mani�re appropri�e ce correctif, et de se coordonner avec les autres parties affect�es.
L'officier de s�curit� informera un ou plusieurs administrateurs du cluster FreeBSD de vuln�rabilit�s mettant les ressources du projet FreeBSD en danger imm�diat.
L'officier de s�curit� peut contacter d'autres d�veloppeurs FreeBSD ou des d�veloppeurs ext�rieurs � propos d'une vuln�rabilit� si leur expertise est n�cessaire pour comprendre ou corriger le probl�me. Une discr�tion appropri�e permettra de minimiser la fuite d'information non n�cessaire sur la vuln�rabilit� soumise, et tout expert contact� devra suivre la politique de l'officier de s�curit�. Dans le pass�, des experts ont �t� contact�s � cause de leur exp�rience importante sur des composants complexes du syst�me d'exploitation, comme FFS, la m�moire virtuelle, et la pile r�seau.
Si une nouvelle version de FreeBSD est en pr�paration, le responsable de la sortie de nouvelles versions peut �tre inform� que la vuln�rabilit� existe, et de sa s�v�rit�, pour que des d�cisions soient prises sur le cycle de sortie des versions et sur les bogues pr�sents dans une version sur le point de sortir. Si ceci est demand�, l'officier de s�curit� ne partagera pas la nature exacte de la vuln�rabilit� avec le responsable de la sortie de nouvelles versions, limitant ainsi les informations � l'existence et la s�v�rit�.
L'officier de s�curit� travaille �troitement avec de nombreuses autres organisations, comme des vendeurs partageant du code avec FreeBSD (les projets OpenBSD, NetBSD et DragonFlyBSD, Apple, et d'autres vendeurs utilisant des logiciels de FreeBSD, ainsi que la liste s�curit� des vendeurs Linux), ainsi que des organisations recensant les vuln�rabilit�s et les incidents de s�curit� comme le CERT. Souvent, les vuln�rabilit�s s'�tendent au del� de l'impl�mentation de FreeBSD, et (moins fr�quemment) ont de larges implications sur la communaut� du r�seau global. Dans de telles circonstances, l'officier de s�curit� peut souhaiter divulguer cette information � ces autres organisations : si vous ne voulez pas que l'officier de s�curit� fasse ceci, veuillez l'indiquer explicitement dans votre soumission.
La personne soumettant une vuln�rabilit� doit veiller � mentionner explicitement toute gestion sp�ciale de l'information.
Si la personne soumettant une vuln�rabilit� est interess�e par une divulgation coordonn�e avec elle et/ou d'autres vendeurs, ceci doit �tre indiqu� explicitement dans la soumission. En l'absence de demande explicite, l'officier de s�curit� FreeBSD choisira un calendrier de divulgation qui refl�te � la fois une divulgation rapide et des tests appropri�s de toute solution. Il faut savoir que si la vuln�rabilit� est r�v�l�e sur des forums publics (comme bugtraq), et qu'elle est exploit�e, l'officier de s�curit� peut choisir de ne pas suivre le calendrier propos� pour prot�ger au maximum la communaut� des utilisateurs.
Les soumissions peuvent �tre prot�g�es avec PGP. Si ceci est d�sir�, les r�ponses seront �galement prot�g�es avec PGP.
Avis de s�curit� FreeBSD
L'officier de s�curit� FreeBSD publie des avis de s�curit� pour diff�rentes branches de FreeBSD. Celles-ci sont les branches -STABLES et les branches de s�curit�. (les avis ne sont pas publi�s pour la branche -CURRENT.)
Il n'y a en g�n�ral qu'une branche -STABLE, bien que durant la transition d'une ligne de d�veloppement � une autre (comme de FreeBSD 4.X � 5.X), il y a une p�riode durant laquelle il y a 2 branches -STABLE. Les �tiquettes des branches stables ont des noms comme RELENG_4. Les compilations correspondantes ont des noms comme FreeBSD 4.10-STABLE.
Chaque version de FreeBSD a une branche de s�curit� associ�e. Les �tiquettes des branches de s�curit� ont des noms comme RELENG_4_10. Les compilations correspondantes ont des noms comme FreeBSD 4.10-RELEASE-p5.
Les probl�mes touchant le catalogue des logiciels port�s FreeBSD sont couverts dans le document FreeBSD VuXML.
Chaque branche est support�e par l'officier de s�curit� pour une dur�e limit�e, et a un type parmi `Premiers Utilisateurs', `Normale', ou `Etendue'. Ce type est utilis� pour d�terminer la dur�e de vie de la branche comme suit.
- Premiers utilisateurs
- Les versions publi�es � partir de la branche -CURRENT seront support�es un minimum de 6 mois apr�s leur sortie.
- Normale
- Les versions publi�es � partir de la branche -STABLE seront support�es par l'officier de s�curit� durant un minimum de 12 mois apr�s leur sortie.
- Etendue
- Des versions choisies seront support�es par l'officier de s�curit� durant un minimum de 24 mois apr� leur sortie.
Le type et la dur�e de vie estim�e des branches actuellement support�es sont donn�es ci-dessous. La colonne Fin de vie estim�e donne la date minimale lors de laquelle cette branche ne sera plus support�e. Veuillez noter que ces dates peuvent �tre �tendues dans le futur, mais que seules des circonstances exeptionnelles feraient que le support soit arr�t� plus t�t que la date pr�vue.
| Branche | Version | Type | Date de Sortie | Fin de vie estim�e |
|---|---|---|---|---|
| RELENG_4 | n/a | n/a | n/a | 31 Janvier 2007 |
| RELENG_4_10 | 4.10-RELEASE | Etendue | 27 Mai 2004 | 31 Mai 2006 |
| RELENG_4_11 | 4.11-RELEASE | Etendue | 25 Janvier 2005 | 31 Janvier 2007 |
| RELENG_5 | n/a | n/a | n/a | 31 Mai 2008 |
| RELENG_5_3 | 5.3-RELEASE | Etendue | 6 Novembre 2004 | 31 Octobre 2006 |
| RELENG_5_4 | 5.4-RELEASE | Normale | 9 Mai 2005 | 31 Octobre 2006 |
| RELENG_5_5 | 5.5-RELEASE | Etendue | 25 Mai 2006 | 31 Mai 2008 |
| RELENG_6 | n/a | n/a | n/a | 31 Mai 2008 |
| RELENG_6_0 | 6.0-RELEASE | Normale | 4 Novembre 2005 | 30 Novembre 2006 |
| RELENG_6_1 | 6.1-RELEASE | Etendue | 9 Mai 2006 | 31 Mai 2008 |
Les versions plus anciennes ne sont plus maintenues et les utilisateurs sont vivement incit�s � mettre leur syst�me � jour vers une branche mentionn�e ci-dessus.
Quelques statistiques sur les avis de s�curit� �mis en 2002:
- 44 avis de diff�rentes s�v�rit�s ont �t� �mis pour le syst�me de base.
- 12 avis ont d�crit des vuln�rabilit�s concernant uniquement FreeBSD. Les 32 restants �taient des probl�mes qui concernaient au moins un autre syst�me d'exploitation (souvent parce que le code source �tait commun).
- 6 notices de s�curit� ont �t� publi�es, couvrant un total de 95 probl�mes dans les applications tierces inclues dans le catalogue des logiciels port�s.
Les avis sont envoy�s aux listes de diffusion FreeBSD suivantes:
Les avis sont toujours sign�s avec la cl� PGP de l'officier de s�curit� FreeBSD et sont archiv�s, aux c�t�s de leurs correctifs, sur notre d�p�t FTP CERT. A ce jour, les avis suivants sont disponibles (notez que cette liste a peut-�tre quelques jours de retard - pour les tout derniers avis, veuillez consulter le site FTP):