Tietoturvasta / Debianin CVE-yhteensopivuus

Debian ja CVE-yhteensopivuus

Debian-kehittäjät ymmärtävät tarpeen tarkalle ja ajantasaiselle Debian-jakelun tietoturvatilanteelle, jonka avulla käyttäjät voivat hallinnoida uusiin tietoturva-alttiuksiin liittyviä riskejä. Yleiset alttiudet ja tietoturvareiät -projekti (CVE) mahdollistaa standardoitujen viitteiden tarjoamisen, joka mahdollistaa käyttäjille CVE-kykyisen tietoturvan hallintaprosessin kehittämisen. CVE tarjoaa luettelon standardoiduista nimistä alttiuksille ja tietoturvarei'ille.

Debian-projektin mielestä on erittäin tärkeää tarjota käyttäjille lisätietoa Debian-jakelua koskevissa tietoturva-asioissa. CVE-nimien sisällyttäminen tiedotteisiin auttaa käyttäjiä yhdistämään yleiset alttiudet Debian-kohtaisiin päivityksiin. Tämä vähentää käyttäjiimme vaikuttavien alttiuksien käsittelyyn kuluvaa aikaa.

Yleisten tietoturvaviitteiden saatavuus helpottaa tietoturvan hallintaa ympäristöissä, joissa on CVE-kykyisiä tietoturvatyökaluja, kuten verkkoon tai koneeseen tunkeutumisen tunnistusjärjestelmiä tai alttiuksien arviointityökaluja, jotka on jo otettu käyttöön huomioimatta sitä, pohjautuvatko ne vai eivät Debian-jakeluun.

Debian-projekti on lisännyt CVE-nimet kaikkiin syyskuun 1998 jälkeisiin tietoturvatiedotteisiinsa (DSA) tarkastusprosessissa, joka alkoi elokuussa 2002. Kaikki tiedotteet ovat saatavilla Debianin www-sivulla ja uusiin alttiuksiin liittyvät julkaisut sisältävät myös CVE-nimet jos sellaisia on saatavilla julkistamishetkellä.

Debianin tietoturvan seurantapalvelin sisältää CVE-nimistä, vastaavista Debian-paketeista, Debianin tietoturvatiedotteista ja vikanumeroista koostuvan luettelon. Luettelosta voi hakea tietoja paketin nimen tai DSA/CVE-nimen perusteella. Tietokantaan on kerätty tietoja Debian Woodyn julkaisusta lähtien.

Vanhempien tietojen osalta, voit käyttää sivuston hakupalvelua tai etsiä tietoja ristiviittaustaulukosta, joka sisältää kaikki saatavilla olevat viitteet kaikkiin vuoden 1997 jälkeen julkaistuihin tiedotteisiin. Tämä taulukko tarjotaan täydentämään viittauskarttaa, joka löytyy CVE:stä.

Yleisiä kysymyksiä CVE-tilanteesta

1. Mikä on tämän hetkinen Debianin tilanne CVE-prosessissa?
2. Miksi en löydä tiettyä CVE-nimeä?
3. Mistä löydän lisää tietoa?

K: Mikä on tämän hetkinen Debianin tilanne CVE-prosessissa?

Debianin tietoturvatiedotteet on ilmoitettu CVE-yhteensopiviksi helmikuun 24., 2004. Lisätietoa on saatavilla CVE-sivustolta, mukaanlukien soveltuvuuden kyselykaavake.

K: Miksi en löydä tiettyä CVE-nimeä?

Seurantapalvelimelta pitäisi löytyä kaikki CVE-nimet. Muut luettelot eivät välttämättä sisällä julkistetuissa tiedotteissa mainittua tiettyä CVE-nimeä, koska:

• Yksikään Debian-tuote ei ole altis kyseiselle haavoittuvuudelle.
• Haavoittuvuutta käsittelevää tiedotetta ei vielä ole.
• Tiedote julkistettiin ennen kuin CVE-nimi annettiin tälle alttiudelle.

K: Mistä löydän lisää tietoa?

Lisätietoja varten käy CVE:n www-sivustolla.

Takaisin Debian-projektin kotisivulle.