Информационная безопасность FreeBSD
Введение
Эта веб-страница предназначена для помощи начинающим и опытным пользователям в области информационной безопасности FreeBSD. Во FreeBSD вопросы безопасности воспринимаются весьма серьёзно и постоянно идет работа над тем, чтобы сделать ОС защищённой настолько, насколько это вообще возможно.
Содержание
- Как и куда сообщать о проблеме информационной безопасности FreeBSD
- Информация об Офицере информационной безопасности FreeBSD
- Политика обработки информации
- Поддерживаемые релизы FreeBSD
- Неподдерживаемые релизы FreeBSD
Дополнительные ресурсы, посвященные информационной безопасности
- Устав Офицера и службы информационной безопасности
- Список бюллетеней информационной безопасности FreeBSD
- Список уведомлений об исправлениях FreeBSD
- Чтение сообщений информационной безопасности FreeBSD
Как и куда сообщать о проблеме информационной безопасности FreeBSD
Все проблемы информационной безопасности FreeBSD следует направлять на адрес службы информационной безопасности FreeBSD или, если необходим более высокий уровень конфиденциальности, в зашифрованном в PGP виде на адрес службы Офицера информационной безопасности, используя ключ PGP Офицера информационной безопасности. Как минимум, все сообщения должны содержать:
- Описание уязвимости.
- Какие версии FreeBSD предположительно затронуты, по возможности.
- Любые состоятельные пути обхода проблемы.
- Примеры кода, по возможности.
После сообщения этой информации с вами свяжется Офицер информационной безопасности или представитель службы информационной безопасности.
Спам-фильтры
В связи с высоким уровнем спама основные контактные почтовые адреса по информационной безопасности подвергаются фильтрации спама. Если Вы не можете связаться с Офицерами информационной безопасности FreeBSD или со службой информационной безопасности из-за спам-фильтров (или предполагаете, что ваш адрес был отфильтрован), пожалуйста, отправьте письмо на security-officer-XXXX@FreeBSD.org с заменой XXXX на 3432 вместо использования обычных адресов. Обратите внимание, что этот адрес будет периодически меняться, поэтому следует проверять здесь последний адрес. Сообщения на этот адрес будут перенаправлены службе Офицера информационной безопасности FreeBSD.
Офицер информационной безопасности FreeBSD и служба информационной безопасности FreeBSD
Для того, чтобы Проект FreeBSD мог оперативно реагировать на сообщения об уязвимостях, почтовый алиас Офицера информационной безопасности соответствует трем персонам: Офицер информационной безопасности, заместитель Офицера информационной безопасности и один член Основной группы разработчиков. Таким образом, сообщения, посланные на адрес почтового алиаса <[email protected]>, доставляются следующим лицам:
Simon L. B. Nielsen <[email protected]> | Офицер информационной безопасности |
Colin Percival <[email protected]> | Офицер информационной безопасности, эмерит |
Robert Watson <[email protected]> | Представитель группы по выпуску релизов, представитель Проекта TrustedBSD, эксперт по архитектуре системной безопасности |
Офицер информационной безопасности поддерживается Службой безопасности FreeBSD <[email protected]>, небольшой группой коммиттеров, которую он выбирает сам.
Политика обработки информации
Как общее правило, Офицер безопасности FreeBSD предпочитает полное раскрытие информации об уязвимости после достаточного перерыва на выполнение тщательного анализа и устранения уязвимости, а также соответствующего тестирования исправления и взаимодействия с другими затронутыми командами.
Офицер безопасности будет уведомлять одного или большее количество администраторов кластера об уязвимостях, которые подвергают ресурсы Проекта FreeBSD непосредственной опасности.
Офицер безопасности может привлечь дополнительных разработчиков FreeBSD или внешних разработчиков к обсуждению предоставленной информации об уязвимости, если требуется их экспертиза для полного понимания или исправления проблемы. Будет выполнено необходимое разграничение для минимизации ненужного распространения информации о представленной уязвимости, и все привлечённые эксперты будут действовать в соответствии с указаниями Офицера безопасности. В прошлом привлекались эксперты с большим опытом работы с высокосложными компонентами операционной системы, включая FFS, подсистему VM и стек сетевых протоколов.
Если уже выполняется процесс выпуска релиза FreeBSD, то инженер, ответственный за выпуск релиза, может также быть оповещён об имеющейся уязвимости и её серьёзности, чтобы было принято решение об информировании относительно цикла выпуска релиза и наличии каких-либо серьёзных ошибок в программном обеспечении, связанном с готовящимся релизом. Если это будет необходимо, то Офицер безопасности не будет сообщать подробную информацию о природе уязвимости Инженеру по выпуску релиза, ограничиваясь информацией о её существовании и серьёзности.
Офицер безопасности FreeBSD поддерживает тесные рабочие отношения со многими другими организациями, включая сторонних разработчиков, имеющих с FreeBSD общий код (проекты OpenBSD, NetBSD и DragonFlyBSD, Apple и другие разработчики, программное обеспечение которых основано на FreeBSD, а также разработчики Linux), и организации, которые отслеживают уязвимости и случаи нарушения информационной безопасности, такие, как CERT. Зачастую уязвимости выходят за рамки реализации FreeBSD, и (наверное, реже) могут иметь широкий резонанс для всего сетевого сообщества. В таких условиях Офицер безопасности может раскрыть информацию об уязвимости этим сторонним организациям: если вы не хотите, чтобы Офицер безопасности это делал, пожалуйста, явно укажите это в своих сообщениях.
Сообщающие должны тщательно и явно указать любые свои требования относительно обработки сообщённой информации.
Если сообщающий об уязвимости заинтересован в координации процесса раскрытия с ним и/или другими разработчиками, это должно быть явно указано в сообщениях. При отсутствии явных требований Офицер безопасности FreeBSD выберет план раскрытия информации, который учитывает как требования оперативности, так и тестирования любых решений. Сообщающие должны иметь в виду, что если уязвимость активно обсуждается в открытых форумах (таких, как bugtraq) и используется, то Офицер Безопасности может решить не следовать предлагаемому плану по её раскрытию, для того, чтобы дать пользовательскому сообществу максимально эффективную защиту.
Сообщения могут быть защищены с помощью PGP. Если это нужно, то ответы также будут защищены посредством PGP.
Поддерживаемые релизы FreeBSD
Офицер информационной безопасности FreeBSD выпускает бюллетени безопасности для нескольких разрабатываемых веток FreeBSD. Это Ветки -STABLE и Ветки Security. (Бюллетени не выпускаются для Ветки -CURRENT.)
Тэги ветки -STABLE носят имена типа RELENG_7. Соответствующие сборки носят названия типа FreeBSD 7.0-STABLE.
Каждому релизу FreeBSD поставлена в соответствие ветка безопасности (Security Branch). Тэги веток безопасности именуются как RELENG_7_0. Соответствующие сборки носят названия типа FreeBSD 7.0-RELEASE-p1.
Проблемы, затрагивающие Коллекцию портов FreeBSD, описываются в документе FreeBSD VuXML.
Каждая ветка поддерживается Офицером безопасности в течение ограниченного времени. Ветки разделены на типы, которые определяют срок жизни, как показано ниже.
- Раннее внедрение (Early Adopter)
- Релизы, выпускаемые из ветки -CURRENT, будут поддерживаться Офицером безопасности как минимум в течение 6 месяцев после выхода.
- Обычный (Normal)
- Релизы, выпускаемые из ветки -STABLE, будут поддерживаться Офицером безопасности как минимум в течение 12 месяцев после выхода и в течение дополнительного времени (если потребуется), достаточного, чтобы следующий релиз был выпущен по крайней мере за 3 месяца до истечения срока поддержки предыдущего Обычного релиза.
- Расширенный (Extended)
- Отобранные релизы (обычно, каждый второй релиз и последний релиз из каждой ветки -STABLE) будут поддерживаться Офицером безопасности как минимум в течение 24 месяцев после выхода и в течение дополнительного времени (если потребуется), достаточного, чтобы следующий Расширенный релиз был выпущен по крайней мере за 3 месяца до истечения срока поддержки предыдущего Расширенного релиза.
Ниже приводятся текущее назначение и ожидаемое время жизни для поддерживаемых в настоящее время веток. В колонке Ожидаемое окончание срока жизни указана ближайшая дата, по истечении которой будет прекращена поддержка ветки. Пожалуйста, учтите, что эти даты могут быть сдвинуты в будущее, но только исключительные обстоятельства могут привести к отказу от поддержки ветки раньше указанной даты.
Ветка | Релиз | Тип | Дата выхода | Ожидаемое окончание срока жизни |
---|---|---|---|---|
RELENG_7 | n/a | n/a | n/a | 28 февраля 2013 |
RELENG_7_4 | 7.4-RELEASE | Расширенный | 24 февраля 2011 | 28 февраля 2013 |
RELENG_8 | n/a | n/a | n/a | последний релиз + 2 года |
RELENG_8_3 | 8.3-RELEASE | Расширенный | 18 апреля 2012 | 30 апреля 2014 |
RELENG_9 | n/a | n/a | n/a | последний релиз + 2 года |
RELENG_9_0 | 9.0-RELEASE | Обычный | 10 января 2012 | 31 марта 2013 |
Более старые релизы не поддерживаются, а их пользователям настоятельно рекомендуется произвести обновление до одной из поддерживаемых версий, указанных выше.
Бюллетени рассылаются в следующие списки рассылки FreeBSD:
Список выпущенных бюллетеней можно найти на странице FreeBSD Security Advisories.
Бюллетени всегда подписываются с использованием PGP-ключа Офицера Безопасности и помещаются, вместе с соответствующими исправлениями, на web-сервер http://security.FreeBSD.org/ в поддиректории advisories и patches.
Неподдерживаемые релизы FreeBSD
Следующие релизы больше не поддерживаются и приведены здесь в справочных целях.
Ветка | Релиз | Тип | Дата выхода | Окончание срока жизни |
---|---|---|---|---|
RELENG_4 | n/a | n/a | n/a | 31 января 2007 |
RELENG_4_11 | 4.11-RELEASE | Расширенный | 25 января 2005 | 31 января 2007 |
RELENG_5 | n/a | n/a | n/a | 31 мая 2008 |
RELENG_5_3 | 5.3-RELEASE | Расширенный | 6 ноября 2004 | 31 октября 2006 |
RELENG_5_4 | 5.4-RELEASE | Обычный | 9 мая 2005 | 31 октября 2006 |
RELENG_5_5 | 5.5-RELEASE | Расширенный | 25 мая 2006 | 31 мая 2008 |
RELENG_6 | n/a | n/a | n/a | 30 ноября 2010 |
RELENG_6_0 | 6.0-RELEASE | Обычный | 4 ноября 2005 | 31 января 2007 |
RELENG_6_1 | 6.1-RELEASE | Расширенный | 9 мая 2006 | 31 мая 2008 |
RELENG_6_2 | 6.2-RELEASE | Обычный | 15 января 2007 | 31 мая 2008 |
RELENG_6_3 | 6.3-RELEASE | Расширенный | 18 января 2008 | 31 января 2010 |
RELENG_6_4 | 6.4-RELEASE | Расширенный | 28 ноября 2008 | 30 ноября 2010 |
RELENG_7_0 | 7.0-RELEASE | Обычный | 27 февраля 2008 | 30 апреля 2009 |
RELENG_7_1 | 7.1-RELEASE | Расширенный | 4 января 2009 | 28 февраля 2011 |
RELENG_7_2 | 7.2-RELEASE | Обычный | 4 мая 2009 | 30 июня 2010 |
RELENG_7_3 | 7.3-RELEASE | Расширенный | 23 марта 2010 | 31 марта 2012 |
RELENG_8_0 | 8.0-RELEASE | Обычный | 25 ноября 2009 | 30 ноября 2010 |
RELENG_8_1 | 8.1-RELEASE | Расширенный | 23 июля 2010 | 31 июля 2012 |
RELENG_8_2 | 8.2-RELEASE | Обычный | 24 февраля 2011 | 31 июля 2012 |