セキュリティポリシー - 5. 告知

ユーザーによっては頻繁にソフトウェアを更新しない人もいます。セキュリティ上の問題があるパッケージを使っている人々に知らせるために、 Fink announce リストに告知を出します。

5.1 誰が告知するか?

この場合の告知は Fink Security Team によってのみ送信されます。ほとんどの場合、下記の PGP キーフィンガープリント付きの dmalloc@users.sourceforge.net から送信されます :

FD77 F0B7 5C65 F546 EB08 A4EC 3CCA 1A32 7E24 291E.
ここにあります http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x7E24291E

上記は故意にリンクされていません。

他の正式なチームメンバーは (ここに皆の公開鍵を追加):

peter@pogma.com が署名した PGP キーの指紋:

4D67 1997 DD32 AE8E D7ED 9C79 8491 2AB7 DF3B 6004
ここにあります http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xDF3B6004

ranger@befunk.com が署名した PGP キーの指紋:

6401 D02A A35F 55E9 D7DD 71C5 52EF A366 D3F6 65FE
ここにあります http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xD3F665FE

5.2 送信の方法

通常のセキュリティ告知のように、全てのセキュリティ告知は下記のテンプレートに沿って書かれます。

 ID: FINK-YYYY-MMDD-NN 
                        Reported: YYYY-MM-DD 
                        Updated:  YYYY-MM-DD 
                        Package:  package-name
                        Affected: <= versionid
                        Maintainer: maintainer-name
                        Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
                        Mac OS X version: 10.3, 10.2 
                        Fix: patch|upstream 
                        Updated by: maintainer|forced update (Email)
                        Description: A short description describing the issue.
                        References: KEYWORD (see above) Ref-URL: URL

以下は例です:

 ID: FINK-2004-06-01 
                        Reported:             2004-06-09 
                        Updated:              2004-06-09 
                        Package:              cvs
                        Affected:             <= 1.11.16, <= 1.12.8
                        Maintainer:           Sylvain Cuaz 
                        Tree(s):    10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable 
                        Mac OS X version: 10.3, 10.2 
                        Fix: upstream
                        Updated by: forced update (dmalloc@users.sourceforge.net)
                        Description: Multiple vulnerabilities in CVS found my ematters
                        Security. References: BID 
                        Ref-URL:    http://www.securityfocus.com/bid/10499 
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
                        References: FULLDISCURL 
                        Ref-URL:    http://lists.netsys.com/pipermail/full-disclosure/2004-June/022441.html
                        References: MISC 
                        Ref-URL:    http://security.e-matters.de/advisories/092004.html

Affected キーワードは、 Fink パッケージ化されたものlだけでなく、全てのバージョンを指します。例でわかるでしょう。