FreeBSD biztons�gi inform�ci�k
Bevezet�s
Ezt az oldalt az�rt hoztuk l�tre, hogy a FreeBSD biztons�gi probl�m�ival kapcsolatban seg�ts�get ny�jtsunk az �j �s tapasztalt felhaszn�l�knak egyar�nt. A FreeBSD Projekt tagjai nagyon komolyan veszik a biztons�gi hib�kat �s folyamatosan azon dolgoznak, hogy az oper�ci�s rendszert a lehet� legbiztons�gosabb� tegy�k.
Tartalomjegyz�k
- Hogyan �s kinek jelents�k a FreeBSD biztons�gi hib�it
- R�viden a FreeBSD Security Officer feladat�r�l
- Adatkezel�si h�zirend
- T�mogatott FreeBSD kiad�sok
Egy�b biztons�ggal kapcsolatos linkek
- A Security Officer �s csapat�nak szabadalomlevele
- A FreeBSD biztons�gi figyelmeztet�seinek list�ja
- A FreeBSD biztons�gi figyelmeztet�sei
Hogyan �s kinek jelents�k a FreeBSD biztons�gi hib�it
A FreeBSD biztons�gi hib�it k�zvetlen�l a FreeBSD Security Team r�sz�re kell k�ldeni, illetve bizalmas inform�ci�k eset�n a Security Officer PGP-kulcs�val �rhatunk egy PGP titkos�t�s� levelet a Security Officer Team c�m�re. A jelent�seknek minden esetben tartalmazniuk kell a k�vetkez� adatokat:
- A sebezhet�s�g le�r�sa.
- Amennyiben lehets�ges, a hiba �ltal �rintett �sszes FreeBSD verzi� megjel�l�se.
- B�rmilyen k�zenfekv� megold�s.
- Amennyiben lehets�ges, p�ldak�d a hiba kihaszn�lhat�s�g�nak bemutat�s�ra.
A megadott inform�ci�k k�zl�se ut�n a Security Officer vagy a Security Team valamelyik k�pvisel�je visszaigazol�st fog k�ldeni.
A lev�lszem�t sz�r�se
Mivel a biztons�gi probl�m�kkal kapcsolatos levelez�si c�mekre t�megesen �rkezik a k�retlen lev�lszem�t, a forgalmukat folyamatosan sz�rj�k. Amennyiben v�lthet�en emiatt nem siker�lne el�rn�nk a FreeBSD Security vagy a FreeBSD Security Officer csapatok tagjait, k�ldj�nk egy levelet a security-officer-XXX@FreeBSD.org c�mre, ahol az XXX r�sz hely�re a 3432 sz�veget kell be�rni. Ez a c�m bizonyos id�szakonk�nt v�ltozik, ez�rt a lev�l elk�ld�se el�tt ezen az oldalon t�j�koz�dni a legfrissebb �llapot�r�l. Az ide elk�ld�tt levelek a FreeBSD Security Officer Team tagjaihoz fognak befutni.
A FreeBSD Security Officer Team �s a FreeBSD Security Team
Annak �rdek�ben, hogy a bek�ld�tt sebezhet�s�gekre a FreeBSD Projekt id�ben �rdemben reag�lni tudjon, h�rom tag �rhet� el jelenleg a Security Officer c�m�n: maga a Security Officer, a Security Officer helyettese �s a Core Team egy tagja. Ennek megfelel�en a <[email protected]> c�m�re k�ld�tt levelek a k�vetkez� szem�lyeknek fognak tov�bb�t�dni:
Colin Percival <[email protected]> | Security Officer |
Simon L. B. Nielsen <[email protected]> | Security Officer-helyettes |
Robert Watson <[email protected]> | A FreeBSD Core Team kapcsolattart�ja, a Release
Engineering kapcsolattart�ja, a TrustedBSD Projekt
kapcsolattart�ja, valamint rendszerbiztons�gi
szak�rt� |
A Security Officer munk�j�t a FreeBSD Security Team <[email protected]> seg�ti, amely a Security Officer �ltal fel�gyelt committerek egy kisebb csoportja.
Adatkezel�si h�zirend
Miut�n a sz�banforg� sebezhet�s�get siker�lt megfelel� m�don elemezni �s jav�tani, valamint a jav�t�st tesztelni �s sz�ks�g eset�n egyeztetni tov�bbi partnerekkel, a FreeBSD Security Officer igyekszik a vele kapcsolatos inform�ci�kat nyilv�noss�gra hozni.
A Security Officer �rtes�teni fogja a FreeBSD klaszter rendszergazd�it minden olyan sebezhet�s�gr�l, amely a FreeBSD Projekt er�forr�sait k�zvetlen�l vesz�lyezteti.
A Security Officer k�rheti tov�bbi FreeBSD fejleszt�k vagy egy�b k�ls�s fejleszt�k seg�ts�g�t, amennyiben az adott sebezhet�s�g pontos felt�r�s�hoz sz�ks�ges a t�mogat�suk. Ebben az esetben a sebezhet�s�ggel kapcsolatos minden inform�ci� szigor�an bizalmasnak tekintend�, ezzel igyeksz�nk elker�lni a hiba id� el�tti elterjed�s�t. Ez�rt minden, a t�m�ban �rintett fejleszt�t�l elv�rjuk, hogy a Security Officer h�zirendj�nek megfelel�en j�rjon el. Kor�bban m�r t�bbsz�r k�rt�nk fel szak�rt�ket az oper�ci�s rendszer k�l�nf�le bonyolultabb elemeinek, t�bbek k�zt az FFS, a virtu�lis mem�ria vagy a h�l�zati protokollk�szlet m�k�d�s�vel kapcsolatban.
Ha a bejelent�s id�pontj�ban �ppen egy FreeBSD kiad�s el�k�sz�t�se zajlik, akkor a FreeBSD Release Engineer is �rtes�t�st kap a sebezhet�s�g l�tez�s�r�l �s annak s�lyoss�g�r�l. A kapott inform�ci�k birtok�ban �gy k�pes lesz m�rlegelni, hogy az adott probl�ma milyen v�ltoztat�sokat ig�nyel a kiad�si ciklus szervez�s�ben, illetve a k�vetkez� kiad�st milyen m�rt�kben �rinti. Sz�ks�g eset�n a Security Officer a sebezhet�s�g jelleg�t m�r nem osztja meg a Release Engineer fel�, ezzel is igyekszik cs�kkenteni az inform�ci� kisziv�rg�s�nak kock�zat�t.
A FreeBSD Security Officer m�s szervezetekkel is szoros egy�ttm�k�d�sben dolgozik, t�bbek k�zt olyan k�ls� fejleszt�kkel, amelyekkel a FreeBSD k�dj�nak valamelyik r�sz�t k�z�sen haszn�lj�k (az OpenBSD, NetBSD, DragonFlyBSD projektek, az Apple, valamint a FreeBSD alap� rendszereket fejleszt� c�gek �s linuxos biztons�gi list�k), illetve a k�l�nb�z� biztons�gi sebezhet�s�geket �s incidenseket nyilv�ntart� szervezetekkel, mint p�ld�ul a CERT. Gyakran el�fordul, hogy a sebezhet�s�gek nem kiz�r�lag csak a FreeBSD implement�ci�j�t �rintik �s (viszont m�r nem olyan gyakran) tov�bbi kihat�ssal vannak az eg�sz vil�g h�l�zati forgalm�ra. Ilyen esetekben a Security Officer igyekszik megosztani a tudom�s�ra jutott adatokat az �rintett szervezetekkel. Amennyiben ehhez nem j�rulunk hozz�, jelezz�k m�r a jelent�s bek�ld�se sor�n.
Amennyiben a bejelent�nek b�rmilyen konkr�t adatkezel�si megk�t�se van, k�rj�k, mindenk�ppen pontosan t�j�koztassa r�la a Security Officert.
Amennyiben a bejelent� szeretne egy�ttm�k�dni a sebezhet�s�g nyilv�noss�gra hoz�s�ban, esetleg m�s egy�b gy�rt�kkal egy�tt, k�rj�k ilyen jelleg� sz�nd�k�t ny�ltan el�re jelezni. Ennek hi�ny�ban a k�rd�ses sebezhet�s�g nyilv�noss�gra hoz�s�val kapcsolatban a FreeBSD Security Officer olyan �temez�st fog v�lasztani, amely lehet�v� teszi az id�ben t�rt�n� �rtes�t�st �s a jav�t�sok megfelel� tesztel�s�t. A bejelent�nek ezenk�v�l m�g tiszt�ban kell lennie azzal is, hogy ha az adott sebezhet�s�g m�r kiker�l valamilyen publikus helyre (mint p�ld�ul hibak�vet� rendszerekbe) �s t�rt�nnek vele kapcsolatban vissza�l�sek, akkor a Security Officernek a felhaszn�l�i k�z�ss�g�k maxim�lis v�delme �rdek�ben jog�ban �ll elt�rni az el�re egyeztetett menetrendekt�l.
A bejelent�sek PGP titkos�t�ssal v�dhet�ek. Amennyiben sz�ks�ges, a v�laszokat is PGP titkos�t�ssal k�ldj�k.
T�mogatott FreeBSD kiad�sok
A FreeBSD Security Officer egyszerre a FreeBSD t�bb fejleszt�si vonal�hoz is bocs�t ki biztons�gi figyelmeztet�seket. Vannak -STABLE �gak �s k�l�n biztons�gi jav�t�sokat tartalmaz� �gak. (Biztons�gi figyelmeztet�sek nem k�sz�lnek a -CURRENT �ghoz.)
A -STABLE �gakat p�ld�ul RELENG_7 c�mk�vel nevezik el. Az ennek megfelel� v�ltozat neve pedig a FreeBSD 7.0-STABLE.
Minden FreeBSD kiad�shoz tartozik egy kiz�r�lag biztons�gi jav�t�sok tartalmaz� �g. A hozz�juk tartoz� �gakat p�ld�ul a RELENG_7_0 c�mk�vel azonos�tj�k. A neki megfelel� v�ltozat pedig a FreeBSD 7.0-RELEASE-p1.
A FreeBSD Portgy�jtem�nyt �rint� hib�kat a FreeBSD VuXML dokumentumban tal�lhatjuk.
A Security Officer az egyes �gakhoz csak korl�tozott ideig ny�jt t�mogat�st, ezek t�pusa lehet `kipr�b�l�sra`, `egyszer�` vagy `b�v�tett`. Az egyes t�pus� �gak �lettartam�ra vonatkoz� �tmutat�sok a k�vetkez�ek:
- Kipr�b�l�sra
- A -CURRENT �gb�l k�sz�lt kiad�sokat a Security Officer legal�bb 6 h�napig t�mogatja.
- Egyszer�
- A -STABLE �gb�l k�sz�lt kiad�sokat a Security Officer legal�bb 12 h�napig t�mogatja, illetve ezen t�l m�g (sz�ks�g eset�n) addig, am�g a soronk�vetkez� egyszer� t�mogat�s� kiad�sok k�z�l a legfrissebb 3 h�napos el nem m�lik.
- B�v�tett
- K�l�nb�z� v�logatott kiad�sok (�ltal�ban minden m�sodik kiad�s, illetve az egyes -STABLE �gak legutols� kiad�sa), amelyeket a Security Officer legal�bb 24 h�napig t�mogat, illetve ezen t�l m�g (sz�ks�g eset�n) addig, am�g a soronk�vetkez� b�v�tett t�mogat�s� kiad�sok k�z�l a legfrissebb 3 h�napos el nem m�lik.
A jelenleg t�mogatott �gak pillanatnyi besorol�s�t �s t�mogat�suk becs�lt idej�t az al�bbi t�bl�zatban foglaltuk �ssze. Itt a T�mogat�s v�rhat� v�ge c�m� oszlopban t�ntett�k fel az adott �gak besz�ntet�s�nek val�sz�n�s�thet� id�pontj�t. Ezek a d�tumok a j�v�ben azonban v�ltozhatnak, hab�r bizonyos enyh�t� k�r�lm�nyek ment�n el�fordulhat, hogy egy adott �g t�mogat�sa a ki�rtn�l hamarabb befejez�dik.
�g | Kiad�s | T�pus | Megjelen�s ideje | T�mogat�s v�rhat� v�ge |
---|---|---|---|---|
RELENG_6 | - | - | - | 2010. november 30. |
RELENG_6_4 | 6.4-RELEASE | b�v�tett | 2008. november 28. | 2010. november 30. |
RELENG_7 | - | - | - | utols� kiad�s + 2 �v |
RELENG_7_1 | 7.1-RELEASE | b�v�tett | 2009. janu�r 4. | 2011. janu�r 31. |
RELENG_7_3 | 7.3-RELEASE | b�v�tett | 2010. m�rcius 23. | 2012. m�rcius 31. |
RELENG_8 | - | - | - | utols� kiad�s + 2 �v |
RELENG_8_0 | 8.0-RELEASE | egyszer� | 2009. november 25. | 2010. november 30. |
RELENG_8_1 | 8.1-RELEASE | b�v�tett | 2010. j�lius 23. | 2012. j�lius 31. |
A felsorol�sban nem szerepl�, r�gebbi kiad�sokat m�r nem tartjuk karban. Ez�rt k�r�nk mindenkit, hogy lehet�leg friss�tsen valamelyik t�mogatott v�ltozatra.
A biztons�gi figyelmeztet�seket az al�bbi FreeBSD levelez�si list�kra szokt�k k�ldeni:
Az eddig kiadott figyelmeztet�sek megtal�lhat�ak a FreeBSD bizons�gi figyelmeztet�sek oldal�n.
A figyelmeztet�seket mindig a FreeBSD Security Officer PGP-kulcs�val
�rj�k al�, majd http://security.FreeBSD.org/
honlapon a hozz� tartoz� jav�t�sokkal
egy�tt felt�ltik az advisories
(figyelmeztet�sek
) �s patches
(jav�t�sok
) k�nyvt�rakba.