Skip site navigation (1) Skip section navigation (2)

FreeBSD biztonsági információk

Bevezetés

Ezt az oldalt azért hoztuk létre, hogy a FreeBSD biztonsági problémáival kapcsolatban segítséget nyújtsunk az új és tapasztalt felhasználóknak egyaránt. A FreeBSD Projekt tagjai nagyon komolyan veszik a biztonsági hibákat és folyamatosan azon dolgoznak, hogy az operációs rendszert a lehető legbiztonságosabbá tegyék.

Tartalomjegyzék

Egyéb biztonsággal kapcsolatos linkek

Hogyan és kinek jelentsük a FreeBSD biztonsági hibáit

A FreeBSD biztonsági hibáit közvetlenül a FreeBSD Security Team részére kell küldeni, illetve bizalmas információk esetén a Security Officer PGP-kulcsával írhatunk egy PGP titkosítású levelet a Security Officer Team címére. A jelentéseknek minden esetben tartalmazniuk kell a következő adatokat:

  • A sebezhetőség leírása.
  • Amennyiben lehetséges, a hiba által érintett összes FreeBSD verzió megjelölése.
  • Bármilyen kézenfekvő megoldás.
  • Amennyiben lehetséges, példakód a hiba kihasználhatóságának bemutatására.

A megadott információk közlése után a Security Officer vagy a Security Team valamelyik képviselője visszaigazolást fog küldeni.

A levélszemét szűrése

Mivel a biztonsági problémákkal kapcsolatos levelezési címekre tömegesen érkezik a kéretlen levélszemét, a forgalmukat folyamatosan szűrjük. Amennyiben vélthetően emiatt nem sikerülne elérnünk a FreeBSD Security vagy a FreeBSD Security Officer csapatok tagjait, küldjünk egy levelet a security-officer-XXX@FreeBSD.org címre, ahol az XXX rész helyére a 3432 szöveget kell beírni. Ez a cím bizonyos időszakonként változik, ezért a levél elküldése előtt ezen az oldalon tájékozódni a legfrissebb állapotáról. Az ide elküldött levelek a FreeBSD Security Officer Team tagjaihoz fognak befutni.

A FreeBSD Security Officer Team és a FreeBSD Security Team

Annak érdekében, hogy a beküldött sebezhetőségekre a FreeBSD Projekt időben érdemben reagálni tudjon, három tag érhető el jelenleg a Security Officer címén: maga a Security Officer, a Security Officer helyettese és a Core Team egy tagja. Ennek megfelelően a <[email protected]> címére küldött levelek a következő személyeknek fognak továbbítódni:

Colin Percival <[email protected]> Security Officer
Simon L. B. Nielsen <[email protected]> Security Officer-helyettes
Robert Watson <[email protected]> A FreeBSD Core Team kapcsolattartója, a Release Engineering kapcsolattartója, a TrustedBSD Projekt kapcsolattartója, valamint rendszerbiztonsági szakértő

A Security Officer munkáját a FreeBSD Security Team <[email protected]> segíti, amely a Security Officer által felügyelt committerek egy kisebb csoportja.

Adatkezelési házirend

Miután a szóbanforgó sebezhetőséget sikerült megfelelő módon elemezni és javítani, valamint a javítást tesztelni és szükség esetén egyeztetni további partnerekkel, a FreeBSD Security Officer igyekszik a vele kapcsolatos információkat nyilvánosságra hozni.

A Security Officer értesíteni fogja a FreeBSD klaszter rendszergazdáit minden olyan sebezhetőségről, amely a FreeBSD Projekt erőforrásait közvetlenül veszélyezteti.

A Security Officer kérheti további FreeBSD fejlesztők vagy egyéb külsős fejlesztők segítségét, amennyiben az adott sebezhetőség pontos feltárásához szükséges a támogatásuk. Ebben az esetben a sebezhetőséggel kapcsolatos minden információ szigorúan bizalmasnak tekintendő, ezzel igyekszünk elkerülni a hiba idő előtti elterjedését. Ezért minden, a témában érintett fejlesztőtől elvárjuk, hogy a Security Officer házirendjének megfelelően járjon el. Korábban már többször kértünk fel szakértőket az operációs rendszer különféle bonyolultabb elemeinek, többek közt az FFS, a virtuális memória vagy a hálózati protokollkészlet működésével kapcsolatban.

Ha a bejelentés időpontjában éppen egy FreeBSD kiadás előkészítése zajlik, akkor a FreeBSD Release Engineer is értesítést kap a sebezhetőség létezéséről és annak súlyosságáról. A kapott információk birtokában így képes lesz mérlegelni, hogy az adott probléma milyen változtatásokat igényel a kiadási ciklus szervezésében, illetve a következő kiadást milyen mértékben érinti. Szükség esetén a Security Officer a sebezhetőség jellegét már nem osztja meg a Release Engineer felé, ezzel is igyekszik csökkenteni az információ kiszivárgásának kockázatát.

A FreeBSD Security Officer más szervezetekkel is szoros együttműködésben dolgozik, többek közt olyan külső fejlesztőkkel, amelyekkel a FreeBSD kódjának valamelyik részét közösen használják (az OpenBSD, NetBSD, DragonFlyBSD projektek, az Apple, valamint a FreeBSD alapú rendszereket fejlesztő cégek és linuxos biztonsági listák), illetve a különböző biztonsági sebezhetőségeket és incidenseket nyilvántartó szervezetekkel, mint például a CERT. Gyakran előfordul, hogy a sebezhetőségek nem kizárólag csak a FreeBSD implementációját érintik és (viszont már nem olyan gyakran) további kihatással vannak az egész világ hálózati forgalmára. Ilyen esetekben a Security Officer igyekszik megosztani a tudomására jutott adatokat az érintett szervezetekkel. Amennyiben ehhez nem járulunk hozzá, jelezzük már a jelentés beküldése során.

Amennyiben a bejelentőnek bármilyen konkrét adatkezelési megkötése van, kérjük, mindenképpen pontosan tájékoztassa róla a Security Officert.

Amennyiben a bejelentő szeretne együttműködni a sebezhetőség nyilvánosságra hozásában, esetleg más egyéb gyártókkal együtt, kérjük ilyen jellegű szándékát nyíltan előre jelezni. Ennek hiányában a kérdéses sebezhetőség nyilvánosságra hozásával kapcsolatban a FreeBSD Security Officer olyan ütemezést fog választani, amely lehetővé teszi az időben történő értesítést és a javítások megfelelő tesztelését. A bejelentőnek ezenkívül még tisztában kell lennie azzal is, hogy ha az adott sebezhetőség már kikerül valamilyen publikus helyre (mint például hibakövető rendszerekbe) és történnek vele kapcsolatban visszaélések, akkor a Security Officernek a felhasználói közösségék maximális védelme érdekében jogában áll eltérni az előre egyeztetett menetrendektől.

A bejelentések PGP titkosítással védhetőek. Amennyiben szükséges, a válaszokat is PGP titkosítással küldjük.

Támogatott FreeBSD kiadások

A FreeBSD Security Officer egyszerre a FreeBSD több fejlesztési vonalához is bocsát ki biztonsági figyelmeztetéseket. Vannak -STABLE ágak és külön biztonsági javításokat tartalmazó ágak. (Biztonsági figyelmeztetések nem készülnek a -CURRENT ághoz.)

  • A -STABLE ágakat például RELENG_7 címkével nevezik el. Az ennek megfelelő változat neve pedig a FreeBSD 7.0-STABLE.

  • Minden FreeBSD kiadáshoz tartozik egy kizárólag biztonsági javítások tartalmazó ág. A hozzájuk tartozó ágakat például a RELENG_7_0 címkével azonosítják. A neki megfelelő változat pedig a FreeBSD 7.0-RELEASE-p1.

A FreeBSD Portgyűjteményt érintő hibákat a FreeBSD VuXML dokumentumban találhatjuk.

A Security Officer az egyes ágakhoz csak korlátozott ideig nyújt támogatást, ezek típusa lehet `kipróbálásra`, `egyszerű` vagy `bővített`. Az egyes típusú ágak élettartamára vonatkozó útmutatások a következőek:

Kipróbálásra
A -CURRENT ágból készült kiadásokat a Security Officer legalább 6 hónapig támogatja.
Egyszerű
A -STABLE ágból készült kiadásokat a Security Officer legalább 12 hónapig támogatja, illetve ezen túl még (szükség esetén) addig, amíg a soronkövetkező egyszerű támogatású kiadások közül a legfrissebb 3 hónapos el nem múlik.
Bővített
Különböző válogatott kiadások (általában minden második kiadás, illetve az egyes -STABLE ágak legutolsó kiadása), amelyeket a Security Officer legalább 24 hónapig támogat, illetve ezen túl még (szükség esetén) addig, amíg a soronkövetkező bővített támogatású kiadások közül a legfrissebb 3 hónapos el nem múlik.

A jelenleg támogatott ágak pillanatnyi besorolását és támogatásuk becsült idejét az alábbi táblázatban foglaltuk össze. Itt a Támogatás várható vége című oszlopban tüntettük fel az adott ágak beszüntetésének valószínűsíthető időpontját. Ezek a dátumok a jövőben azonban változhatnak, habár bizonyos enyhítő körülmények mentén előfordulhat, hogy egy adott ág támogatása a kiírtnál hamarabb befejeződik.

Ág Kiadás Típus Megjelenés ideje Támogatás várható vége
RELENG_6 - - - 2010. november 30.
RELENG_6_4 6.4-RELEASE bővített 2008. november 28. 2010. november 30.
RELENG_7 - - - utolsó kiadás + 2 év
RELENG_7_1 7.1-RELEASE bővített 2009. január 4. 2011. január 31.
RELENG_7_3 7.3-RELEASE bővített 2010. március 23. 2012. március 31.
RELENG_8 - - - utolsó kiadás + 2 év
RELENG_8_0 8.0-RELEASE egyszerű 2009. november 25. 2010. november 30.
RELENG_8_1 8.1-RELEASE bővített 2010. július 23. 2012. július 31.

A felsorolásban nem szereplő, régebbi kiadásokat már nem tartjuk karban. Ezért kérünk mindenkit, hogy lehetőleg frissítsen valamelyik támogatott változatra.

A biztonsági figyelmeztetéseket az alábbi FreeBSD levelezési listákra szokták küldeni:

Az eddig kiadott figyelmeztetések megtalálhatóak a FreeBSD bizonsági figyelmeztetések oldalán.

A figyelmeztetéseket mindig a FreeBSD Security Officer PGP-kulcsával írják alá, majd http://security.FreeBSD.org/ honlapon a hozzá tartozó javításokkal együtt feltöltik az advisories (figyelmeztetések) és patches (javítások) könyvtárakba.