FreeBSD biztonsági információk
Bevezetés
Ezt az oldalt azért hoztuk létre, hogy a FreeBSD biztonsági problémáival kapcsolatban segítséget nyújtsunk az új és tapasztalt felhasználóknak egyaránt. A FreeBSD Projekt tagjai nagyon komolyan veszik a biztonsági hibákat és folyamatosan azon dolgoznak, hogy az operációs rendszert a lehetõ legbiztonságosabbá tegyék.
Tartalomjegyzék
Egyéb biztonsággal kapcsolatos linkek
Hogyan és kinek jelentsük a FreeBSD biztonsági hibáit
A FreeBSD biztonsági hibáit közvetlenül a FreeBSD Security Team részére kell küldeni, illetve bizalmas információk esetén a Security Officer PGP-kulcsával írhatunk egy PGP titkosítású levelet a Security Officer Team címére. A jelentéseknek minden esetben tartalmazniuk kell a következõ adatokat:
-
A sebezhetõség leírása.
-
Amennyiben lehetséges, a hiba által érintett összes FreeBSD verzió megjelölése.
-
Bármilyen kézenfekvõ megoldás.
-
Amennyiben lehetséges, példakód a hiba kihasználhatóságának bemutatására.
A megadott információk közlése után a Security Officer vagy a Security Team valamelyik képviselõje visszaigazolást fog küldeni.
A levélszemét szûrése
Mivel a biztonsági problémákkal kapcsolatos levelezési címekre
tömegesen érkezik a kéretlen levélszemét, a forgalmukat
folyamatosan szûrjük. Amennyiben vélthetõen emiatt nem sikerülne
elérnünk a FreeBSD Security vagy a FreeBSD Security Officer
csapatok tagjait, küldjünk egy levelet a
security-officer-XXX@FreeBSD.org
címre, ahol az
XXX rész helyére a 3432
szöveget kell beírni.
Ez a cím bizonyos idõszakonként változik, ezért a levél elküldése
elõtt ezen az oldalon tájékozódni a legfrissebb állapotáról. Az ide
elküldött levelek a FreeBSD Security Officer Team tagjaihoz fognak
befutni.
A FreeBSD Security Officer Team és a FreeBSD Security Team
Annak érdekében, hogy a beküldött sebezhetõségekre a FreeBSD Projekt idõben érdemben reagálni tudjon, három tag érhetõ el jelenleg a Security Officer címén: maga a Security Officer, a Security Officer helyettese és a Core Team egy tagja. Ennek megfelelõen a <security-officer@FreeBSD.org> címére küldött levelek a következõ személyeknek fognak továbbítódni:
Colin Percival <cperciva@FreeBSD.org> |
Security Officer |
Simon L. B. Nielsen <simon@FreeBSD.org> |
Security Officer-helyettes |
Robert Watson <rwatson@FreeBSD.org> |
A FreeBSD Core Team kapcsolattartója, a
Release Engineering kapcsolattartója, a TrustedBSD Projekt
kapcsolattartója, valamint rendszerbiztonsági szakértõ |
A Security Officer munkáját a FreeBSD Security Team <secteam@FreeBSD.org> segíti, amely a Security Officer által felügyelt committerek egy kisebb csoportja.
Adatkezelési házirend
Miután a szóbanforgó sebezhetõséget sikerült megfelelõ módon elemezni és javítani, valamint a javítást tesztelni és szükség esetén egyeztetni további partnerekkel, a FreeBSD Security Officer igyekszik a vele kapcsolatos információkat nyilvánosságra hozni.
A Security Officer értesíteni fogja a FreeBSD klaszter rendszergazdáit minden olyan sebezhetõségrõl, amely a FreeBSD Projekt erõforrásait közvetlenül veszélyezteti.
A Security Officer kérheti további FreeBSD fejlesztõk vagy egyéb külsõs fejlesztõk segítségét, amennyiben az adott sebezhetõség pontos feltárásához szükséges a támogatásuk. Ebben az esetben a sebezhetõséggel kapcsolatos minden információ szigorúan bizalmasnak tekintendõ, ezzel igyekszünk elkerülni a hiba idõ elõtti elterjedését. Ezért minden, a témában érintett fejlesztõtõl elvárjuk, hogy a Security Officer házirendjének megfelelõen járjon el. Korábban már többször kértünk fel szakértõket az operációs rendszer különféle bonyolultabb elemeinek, többek közt az FFS, a virtuális memória vagy a hálózati protokollkészlet mûködésével kapcsolatban.
Ha a bejelentés idõpontjában éppen egy FreeBSD kiadás elõkészítése zajlik, akkor a FreeBSD Release Engineer is értesítést kap a sebezhetõség létezésérõl és annak súlyosságáról. A kapott információk birtokában így képes lesz mérlegelni, hogy az adott probléma milyen változtatásokat igényel a kiadási ciklus szervezésében, illetve a következõ kiadást milyen mértékben érinti. Szükség esetén a Security Officer a sebezhetõség jellegét már nem osztja meg a Release Engineer felé, ezzel is igyekszik csökkenteni az információ kiszivárgásának kockázatát.
A FreeBSD Security Officer más szervezetekkel is szoros együttmûködésben dolgozik, többek közt olyan külsõ fejlesztõkkel, amelyekkel a FreeBSD kódjának valamelyik részét közösen használják (az OpenBSD, NetBSD, DragonFlyBSD projektek, az Apple, valamint a FreeBSD alapú rendszereket fejlesztõ cégek és linuxos biztonsági listák), illetve a különbözõ biztonsági sebezhetõségeket és incidenseket nyilvántartó szervezetekkel, mint például a CERT. Gyakran elõfordul, hogy a sebezhetõségek nem kizárólag csak a FreeBSD implementációját érintik és (viszont már nem olyan gyakran) további kihatással vannak az egész világ hálózati forgalmára. Ilyen esetekben a Security Officer igyekszik megosztani a tudomására jutott adatokat az érintett szervezetekkel. Amennyiben ehhez nem járulunk hozzá, jelezzük már a jelentés beküldése során.
Amennyiben a bejelentõnek bármilyen konkrét adatkezelési megkötése van, kérjük, mindenképpen pontosan tájékoztassa róla a Security Officert.
Amennyiben a bejelentõ szeretne együttmûködni a sebezhetõség nyilvánosságra hozásában, esetleg más egyéb gyártókkal együtt, kérjük ilyen jellegû szándékát nyíltan elõre jelezni. Ennek hiányában a kérdéses sebezhetõség nyilvánosságra hozásával kapcsolatban a FreeBSD Security Officer olyan ütemezést fog választani, amely lehetõvé teszi az idõben történõ értesítést és a javítások megfelelõ tesztelését. A bejelentõnek ezenkívül még tisztában kell lennie azzal is, hogy ha az adott sebezhetõség már kikerül valamilyen publikus helyre (mint például hibakövetõ rendszerekbe) és történnek vele kapcsolatban visszaélések, akkor a Security Officernek a felhasználói közösségék maximális védelme érdekében jogában áll eltérni az elõre egyeztetett menetrendektõl.
A bejelentések PGP titkosítással védhetõek. Amennyiben szükséges, a válaszokat is PGP titkosítással küldjük.
Támogatott FreeBSD kiadások
A FreeBSD Security Officer egyszerre a FreeBSD több fejlesztési vonalához is bocsát ki biztonsági figyelmeztetéseket. Vannak -STABLE ágak és külön biztonsági javításokat tartalmazó ágak. (Biztonsági figyelmeztetések nem készülnek a -CURRENT ághoz.)
-
A -STABLE ágakat például
RELENG_7
címkével nevezik el. Az ennek megfelelõ változat neve pedig aFreeBSD 7.0-STABLE
. -
Minden FreeBSD kiadáshoz tartozik egy kizárólag biztonsági javítások tartalmazó ág. A hozzájuk tartozó ágakat például a
RELENG_7_0
címkével azonosítják. A neki megfelelõ változat pedig aFreeBSD 7.0-RELEASE-p1
.
A FreeBSD Portgyûjteményt érintõ hibákat a FreeBSD VuXML dokumentumban találhatjuk.
A Security Officer az egyes ágakhoz csak korlátozott ideig nyújt
támogatást, ezek típusa lehet kipróbálásra
,
egyszerû
vagy bõvített
.
Az egyes típusú ágak élettartamára vonatkozó útmutatások a
következõek:
- Kipróbálásra
-
A -CURRENT ágból készült kiadásokat a Security Officer legalább 6 hónapig támogatja.
- Egyszerû
-
A -STABLE ágból készült kiadásokat a Security Officer legalább 12 hónapig támogatja, illetve ezen túl még (szükség esetén) addig, amíg a soronkövetkezõ egyszerû támogatású kiadások közül a legfrissebb 3 hónapos el nem múlik.
- Bõvített
-
Különbözõ válogatott kiadások (általában minden második kiadás, illetve az egyes -STABLE ágak legutolsó kiadása), amelyeket a Security Officer legalább 24 hónapig támogat, illetve ezen túl még (szükség esetén) addig, amíg a soronkövetkezõ bõvített támogatású kiadások közül a legfrissebb 3 hónapos el nem múlik.
A jelenleg támogatott ágak pillanatnyi besorolását és támogatásuk becsült idejét az alábbi táblázatban foglaltuk össze. Itt a Támogatás várható vége címû oszlopban tüntettük fel az adott ágak beszüntetésének valószínûsíthetõ idõpontját. Ezek a dátumok a jövõben azonban változhatnak, habár bizonyos enyhítõ körülmények mentén elõfordulhat, hogy egy adott ág támogatása a kiírtnál hamarabb befejezõdik.
Ág | Kiadás | Típus | Megjelenés ideje | Támogatás várható vége |
---|---|---|---|---|
RELENG_6 |
- |
- |
- |
2010. november 30. |
RELENG_6_4 |
6.4-RELEASE |
bõvített |
2008. november 28. |
2010. november 30. |
RELENG_7 |
- |
- |
- |
utolsó kiadás + 2 év |
RELENG_7_1 |
7.1-RELEASE |
bõvített |
2009. január 4. |
2011. január 31. |
RELENG_7_3 |
7.3-RELEASE |
bõvített |
2010. március 23. |
2012. március 31. |
RELENG_8 |
- |
- |
- |
utolsó kiadás + 2 év |
RELENG_8_0 |
8.0-RELEASE |
egyszerû |
2009. november 25. |
2010. november 30. |
RELENG_8_1 |
8.1-RELEASE |
bõvített |
2010. július 23. |
2012. július 31. |
A felsorolásban nem szereplõ, régebbi kiadásokat már nem tartjuk karban. Ezért kérünk mindenkit, hogy lehetõleg frissítsen valamelyik támogatott változatra.
A biztonsági figyelmeztetéseket az alábbi FreeBSD levelezési listákra szokták küldeni:
Az eddig kiadott figyelmeztetések megtalálhatóak a FreeBSD bizonsági figyelmeztetések oldalán.
A figyelmeztetéseket mindig a FreeBSD Security Officer PGP-kulcsával írják alá, majd http://security.FreeBSD.org/ honlapon a hozzá tartozó javításokkal együtt feltöltik az advisories (“figyelmeztetések”) és patches (“javítások”) könyvtárakba.