FreeBSD biztonsági információk
Bevezetés
Ezt az oldalt azért hoztuk létre, hogy a FreeBSD biztonsági problémáival kapcsolatban segítséget nyújtsunk az új és tapasztalt felhasználóknak egyaránt. A FreeBSD Projekt tagjai nagyon komolyan veszik a biztonsági hibákat és folyamatosan azon dolgoznak, hogy az operációs rendszert a lehető legbiztonságosabbá tegyék.
Tartalomjegyzék
- Hogyan és kinek jelentsük a FreeBSD biztonsági hibáit
- Röviden a FreeBSD Security Officer feladatáról
- Adatkezelési házirend
- Támogatott FreeBSD kiadások
Egyéb biztonsággal kapcsolatos linkek
- A Security Officer és csapatának szabadalomlevele
- A FreeBSD biztonsági figyelmeztetéseinek listája
- A FreeBSD biztonsági figyelmeztetései
Hogyan és kinek jelentsük a FreeBSD biztonsági hibáit
A FreeBSD biztonsági hibáit közvetlenül a FreeBSD Security Team részére kell küldeni, illetve bizalmas információk esetén a Security Officer PGP-kulcsával írhatunk egy PGP titkosítású levelet a Security Officer Team címére. A jelentéseknek minden esetben tartalmazniuk kell a következő adatokat:
- A sebezhetőség leírása.
- Amennyiben lehetséges, a hiba által érintett összes FreeBSD verzió megjelölése.
- Bármilyen kézenfekvő megoldás.
- Amennyiben lehetséges, példakód a hiba kihasználhatóságának bemutatására.
A megadott információk közlése után a Security Officer vagy a Security Team valamelyik képviselője visszaigazolást fog küldeni.
A levélszemét szűrése
Mivel a biztonsági problémákkal kapcsolatos levelezési címekre tömegesen érkezik a kéretlen levélszemét, a forgalmukat folyamatosan szűrjük. Amennyiben vélthetően emiatt nem sikerülne elérnünk a FreeBSD Security vagy a FreeBSD Security Officer csapatok tagjait, küldjünk egy levelet a security-officer-XXX@FreeBSD.org címre, ahol az XXX rész helyére a 3432 szöveget kell beírni. Ez a cím bizonyos időszakonként változik, ezért a levél elküldése előtt ezen az oldalon tájékozódni a legfrissebb állapotáról. Az ide elküldött levelek a FreeBSD Security Officer Team tagjaihoz fognak befutni.
A FreeBSD Security Officer Team és a FreeBSD Security Team
Annak érdekében, hogy a beküldött sebezhetőségekre a FreeBSD Projekt időben érdemben reagálni tudjon, három tag érhető el jelenleg a Security Officer címén: maga a Security Officer, a Security Officer helyettese és a Core Team egy tagja. Ennek megfelelően a <[email protected]> címére küldött levelek a következő személyeknek fognak továbbítódni:
Colin Percival <[email protected]> | Security Officer |
Simon L. B. Nielsen <[email protected]> | Security Officer-helyettes |
Robert Watson <[email protected]> | A FreeBSD Core Team kapcsolattartója, a Release
Engineering kapcsolattartója, a TrustedBSD Projekt
kapcsolattartója, valamint rendszerbiztonsági
szakértő |
A Security Officer munkáját a FreeBSD Security Team <[email protected]> segíti, amely a Security Officer által felügyelt committerek egy kisebb csoportja.
Adatkezelési házirend
Miután a szóbanforgó sebezhetőséget sikerült megfelelő módon elemezni és javítani, valamint a javítást tesztelni és szükség esetén egyeztetni további partnerekkel, a FreeBSD Security Officer igyekszik a vele kapcsolatos információkat nyilvánosságra hozni.
A Security Officer értesíteni fogja a FreeBSD klaszter rendszergazdáit minden olyan sebezhetőségről, amely a FreeBSD Projekt erőforrásait közvetlenül veszélyezteti.
A Security Officer kérheti további FreeBSD fejlesztők vagy egyéb külsős fejlesztők segítségét, amennyiben az adott sebezhetőség pontos feltárásához szükséges a támogatásuk. Ebben az esetben a sebezhetőséggel kapcsolatos minden információ szigorúan bizalmasnak tekintendő, ezzel igyekszünk elkerülni a hiba idő előtti elterjedését. Ezért minden, a témában érintett fejlesztőtől elvárjuk, hogy a Security Officer házirendjének megfelelően járjon el. Korábban már többször kértünk fel szakértőket az operációs rendszer különféle bonyolultabb elemeinek, többek közt az FFS, a virtuális memória vagy a hálózati protokollkészlet működésével kapcsolatban.
Ha a bejelentés időpontjában éppen egy FreeBSD kiadás előkészítése zajlik, akkor a FreeBSD Release Engineer is értesítést kap a sebezhetőség létezéséről és annak súlyosságáról. A kapott információk birtokában így képes lesz mérlegelni, hogy az adott probléma milyen változtatásokat igényel a kiadási ciklus szervezésében, illetve a következő kiadást milyen mértékben érinti. Szükség esetén a Security Officer a sebezhetőség jellegét már nem osztja meg a Release Engineer felé, ezzel is igyekszik csökkenteni az információ kiszivárgásának kockázatát.
A FreeBSD Security Officer más szervezetekkel is szoros együttműködésben dolgozik, többek közt olyan külső fejlesztőkkel, amelyekkel a FreeBSD kódjának valamelyik részét közösen használják (az OpenBSD, NetBSD, DragonFlyBSD projektek, az Apple, valamint a FreeBSD alapú rendszereket fejlesztő cégek és linuxos biztonsági listák), illetve a különböző biztonsági sebezhetőségeket és incidenseket nyilvántartó szervezetekkel, mint például a CERT. Gyakran előfordul, hogy a sebezhetőségek nem kizárólag csak a FreeBSD implementációját érintik és (viszont már nem olyan gyakran) további kihatással vannak az egész világ hálózati forgalmára. Ilyen esetekben a Security Officer igyekszik megosztani a tudomására jutott adatokat az érintett szervezetekkel. Amennyiben ehhez nem járulunk hozzá, jelezzük már a jelentés beküldése során.
Amennyiben a bejelentőnek bármilyen konkrét adatkezelési megkötése van, kérjük, mindenképpen pontosan tájékoztassa róla a Security Officert.
Amennyiben a bejelentő szeretne együttműködni a sebezhetőség nyilvánosságra hozásában, esetleg más egyéb gyártókkal együtt, kérjük ilyen jellegű szándékát nyíltan előre jelezni. Ennek hiányában a kérdéses sebezhetőség nyilvánosságra hozásával kapcsolatban a FreeBSD Security Officer olyan ütemezést fog választani, amely lehetővé teszi az időben történő értesítést és a javítások megfelelő tesztelését. A bejelentőnek ezenkívül még tisztában kell lennie azzal is, hogy ha az adott sebezhetőség már kikerül valamilyen publikus helyre (mint például hibakövető rendszerekbe) és történnek vele kapcsolatban visszaélések, akkor a Security Officernek a felhasználói közösségék maximális védelme érdekében jogában áll eltérni az előre egyeztetett menetrendektől.
A bejelentések PGP titkosítással védhetőek. Amennyiben szükséges, a válaszokat is PGP titkosítással küldjük.
Támogatott FreeBSD kiadások
A FreeBSD Security Officer egyszerre a FreeBSD több fejlesztési vonalához is bocsát ki biztonsági figyelmeztetéseket. Vannak -STABLE ágak és külön biztonsági javításokat tartalmazó ágak. (Biztonsági figyelmeztetések nem készülnek a -CURRENT ághoz.)
A -STABLE ágakat például RELENG_7 címkével nevezik el. Az ennek megfelelő változat neve pedig a FreeBSD 7.0-STABLE.
Minden FreeBSD kiadáshoz tartozik egy kizárólag biztonsági javítások tartalmazó ág. A hozzájuk tartozó ágakat például a RELENG_7_0 címkével azonosítják. A neki megfelelő változat pedig a FreeBSD 7.0-RELEASE-p1.
A FreeBSD Portgyűjteményt érintő hibákat a FreeBSD VuXML dokumentumban találhatjuk.
A Security Officer az egyes ágakhoz csak korlátozott ideig nyújt támogatást, ezek típusa lehet `kipróbálásra`, `egyszerű` vagy `bővített`. Az egyes típusú ágak élettartamára vonatkozó útmutatások a következőek:
- Kipróbálásra
- A -CURRENT ágból készült kiadásokat a Security Officer legalább 6 hónapig támogatja.
- Egyszerű
- A -STABLE ágból készült kiadásokat a Security Officer legalább 12 hónapig támogatja, illetve ezen túl még (szükség esetén) addig, amíg a soronkövetkező egyszerű támogatású kiadások közül a legfrissebb 3 hónapos el nem múlik.
- Bővített
- Különböző válogatott kiadások (általában minden második kiadás, illetve az egyes -STABLE ágak legutolsó kiadása), amelyeket a Security Officer legalább 24 hónapig támogat, illetve ezen túl még (szükség esetén) addig, amíg a soronkövetkező bővített támogatású kiadások közül a legfrissebb 3 hónapos el nem múlik.
A jelenleg támogatott ágak pillanatnyi besorolását és támogatásuk becsült idejét az alábbi táblázatban foglaltuk össze. Itt a Támogatás várható vége című oszlopban tüntettük fel az adott ágak beszüntetésének valószínűsíthető időpontját. Ezek a dátumok a jövőben azonban változhatnak, habár bizonyos enyhítő körülmények mentén előfordulhat, hogy egy adott ág támogatása a kiírtnál hamarabb befejeződik.
Ág | Kiadás | Típus | Megjelenés ideje | Támogatás várható vége |
---|---|---|---|---|
RELENG_6 | - | - | - | 2010. november 30. |
RELENG_6_4 | 6.4-RELEASE | bővített | 2008. november 28. | 2010. november 30. |
RELENG_7 | - | - | - | utolsó kiadás + 2 év |
RELENG_7_1 | 7.1-RELEASE | bővített | 2009. január 4. | 2011. január 31. |
RELENG_7_3 | 7.3-RELEASE | bővített | 2010. március 23. | 2012. március 31. |
RELENG_8 | - | - | - | utolsó kiadás + 2 év |
RELENG_8_0 | 8.0-RELEASE | egyszerű | 2009. november 25. | 2010. november 30. |
RELENG_8_1 | 8.1-RELEASE | bővített | 2010. július 23. | 2012. július 31. |
A felsorolásban nem szereplő, régebbi kiadásokat már nem tartjuk karban. Ezért kérünk mindenkit, hogy lehetőleg frissítsen valamelyik támogatott változatra.
A biztonsági figyelmeztetéseket az alábbi FreeBSD levelezési listákra szokták küldeni:
Az eddig kiadott figyelmeztetések megtalálhatóak a FreeBSD bizonsági figyelmeztetések oldalán.
A figyelmeztetéseket mindig a FreeBSD Security Officer PGP-kulcsával
írják alá, majd http://security.FreeBSD.org/
honlapon a hozzá tartozó javításokkal
együtt feltöltik az advisories
(figyelmeztetések
) és patches
(javítások
) könyvtárakba.