Fink

Sicherheitspolitik - 5. Benachrichtigungen verschicken

Manche Nutzer aktualisieren ihre Software nicht sehr häufig. Damit möglichst schnell alle Nutzer aktualisierte Versionen der Pakete mit Sicherheitslücken installieren und benutzen, kann ein Paketbetreuer darum bitten, dass eine entsprechende Ankündigung über die Mailing-Liste "Fink announcement" verschickt wird.

5.1 Wer darf verschicken?

Diese Ankündigung darf nur vom Fink Security Team verschickt werden. Meistens wird das von dmalloc@users.sourceforge.net erledigt und einem PGP-Schlüssel mit folgender Signatur:

Das obige ist absichtlich nicht als Link formatiert.

Weitere autorisierte Mitglieder des Teams sind: (fügen sie hier ihre Email-Adresse und den öffentlichen Schlüssel ein.)

peter@pogma.com signiert durch einen PGP-Schlüssel mit der Signatur:

ranger@befunk.com signiert durch einen PGP-Schlüssel mit der Signatur:

5.2 Wie ankündigen?

Damit sicher gestellt ist, dass Sicherheitsankündigungen ein einheitliches Aussehen haben, müssen sich alle an die folgende Vorlage halten.

 ID: FINK-YYYY-MMDD-NN
 Reported: YYYY-MM-DD
 Updated:  YYYY-MM-DD
 Package:  package-name
 Affected: <= versionid
 Maintainer: maintainer-name
 Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
 Mac OS X version: 10.3, 10.2
 Fix: patch|upstream
 Updated by: maintainer|forced update (Email)
 Description: A short description describing the issue.
 References: KEYWORD (see above)
 Ref-URL: URL

Ein Beispielsbericht könnte so aussehen:

 ID: FINK-2004-06-01
 Reported:         2004-06-09
 Updated:          2004-06-09
 Package:          cvs
 Affected:         <= 1.11.16, <= 1.12.8
 Maintainer:       Sylvain Cuaz
 Tree(s):          10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
 Mac OS X version: 10.3, 10.2
 Fix:              upstream
 Updated by: forced update (dmalloc@users.sourceforge.net)
 Description: Multiple vulnerabilities in CVS found by Ematters Security.
 References: BID
 Ref-URL:    http://www.securityfocus.com/bid/10499
 References: CVE
 Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
 References: CVE
 Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
 References: CVE
 Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
 References: CVE
 Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
 References: FULLDISCURL
 Ref-URL:    http://lists.netsys.com/pipermail/full-disclosure/2004-June/022441.html
 References: MISC
 Ref-URL:    http://security.e-matters.de/advisories/092004.html

Beachten sie bitte, dass sich das Schlüsselwort Affected auf alle Versionen der Software bezieht, die Sicherheitslücken aufweisen, nicht nur auf die, für die es Fink-Pakete gibt. Das Beispiel zeigt dies sehr deutlich.