Available Languages: | Deutsch | English | Français | 日本語 (Nihongo) | Português | 中文 (简) (Simplified Chinese) |

Charte générale de sécurité de Fink pour les paquets acceptés

Ce document explique comment gérer les failles de sécurité pour les paquets qui ont été acceptés dans Fink. Bien que tout mainteneur de paquet accepté dans Fink en reste le principal responsable, Fink reconnaît la nécessité de mettre en place une charte uniforme de réaction aux failles de sécurité qui pourraient être décelées dans les programmes que Fink propose sous forme de paquets. Les mainteneurs doivent s'y conformer.

Contents

1 Responsabilité

1.1 Qui est responsable ?

Chaque paquet de Fink a un mainteneur. On obtient ses coordonnées en exécutant en ligne de commande : fink info nomdupaquet. Cette commande affiche une série de renseignements, parmi lesquels on trouve un champ similaire au suivant : Maintainer: Fink Core Group <fink-core@lists.sourceforge.net>. Le mainteneur est pleinement responsable de son/ses paquet(s).

1.2 Qui contacter ?

Si des failles de sécurité apparaissent dans un paquet, vous devez contacter le mainteneur du paquet ainsi que l'équipe Fink Core. L'adresse email du mainteneur se trouve dans le fichier info du paquet, celle de l'équipe Fink Core est fink-core@lists.sourceforge.net

1.3 Pré-notifications

La découverte de failles critiques de sécurité dans un programme empaqueté par Fink peuvent vous conduire à pré-notifier le mainteneur de ce paquet. Comme il se peut que ce mainteneur ne soit pas joignable dans un délai raisonnable, vous devez toujours envoyer une copie de la pré-notification à l'équipe de sécurité de Fink. Vous trouverez la liste des membres de l'équipe plus loin. Veuillez noter que fink-core@lists.sourceforge.net est une liste de diffusion dont les archives sont publiques. Les pré-notifications privées ne doivent jamais être envoyées à cette liste.

1.4 Réponse

L'équipe Fink Core répond aux rapports de failles de sécurité envoyés. Chaque mainteneur doit accuser réception lui-même du problème soumis. Dans l'hypothèse où le mainteneur ne serait pas disponible ou qu'il n'ait pas accusé réception du rapport dans les 24 heures suivant l'envoi, une note doit être envoyée à l'équipe Fink Core pour l'informer que le mainteneur ne semble pas réagir.

Si vous avez tenté de contacter le mainteneur du paquet et que vous ayez reçu un message d'erreur de distribution du système de courrier, vous devez immédiatement informer l'équipe Fink Core de ce que le mainteneur n'est pas joignable et que le paquet doit être mis à jour sans tenir compte du mainteneur.

2 Délais de réponse et actions immédiates.

Les temps de réponse et les actions engagées dépendent principalement de la sévérité des pertes engendrées par un défaut dans un programme empaqueté pour Fink. Dans tous les cas de figure, l'équipe Fink Core engagera immédiatement les actions qu'elle jugera nécessaires pour protéger la communauté des utilisateurs de Fink.

2.1 Temps de réponse

Tout mainteneur de paquet doit faire son possible pour tenir les délais de réponse indiqués ci-dessous. L'équipe Fink Core peut décider d'engager des actions immédiates pour certains types de vulnérabilité. Dans ce cas, l'un des membres de l'équipe Fink Core devra notifier le mainteneur du paquet. Gardez toutefois à l'esprit que, bien que nous fassions tout notre possible pour tenir les délais, Fink est basé sur le bénévolat et que ces délais ne peuvent donc être garantis.

VulnérabilitéTemps de réponse
Exploit à distance sur root

minimum : immédiat; maximum : 12 heures.

Exploit local sur root

minimum : 12 heures ; maximum : 36 heures.

Déni de service à distance

minimum : 6 heures ; maximum : 12 heures.

Déni de service local

minimum : 24 heures ; maximum : 72 heures.

Corruption de données à distance

minimum : 12 heures ; maximum : 24 heures.

Corruption locale de données

minimum : 24 heures ; maximum : 72 heures.

2.2 Mises à jour forcées

Un membre de l'équipe Fink Core peut décider de mettre à jour un paquet sans attendre que le mainteneur le fasse. On appelle cela une mise à jour forcée. Le fait de ne pas tenir le délai de réponse pour une vulnérabilité donnée dans un paquet de Fink entraîne également une mise à jour forcée de ce paquet.

3 Sources répertoriant les failles

3.1 Sources reconnues répertoriant les failles

En tant que rapporteur d'une faille de sécurité dans un programme empaqueté pour Fink, vous devez vous assurer que la vulnérabilité du programme est connue aussi sur Mac OS X. C'est à la partie qui envoie le rapport de faille qu'incombe la responsabilité de s'assurer que l'une des sources suivantes corrobore le problème signalé pour le programme en question.

  1. AIXAPAR: AIX APAR (Authorised Problem Analysis Report)
  2. APPLE: Apple Security Update
  3. ATSTAKE: @stake security advisory
  4. AUSCERT: AUSCERT advisory
  5. BID: Security Focus Bugtraq ID database entry
  6. BINDVIEW: BindView security advisory
  7. BUGTRAQ: Posting to Bugtraq mailing list
  8. CALDERA: Caldera security advisory
  9. CERT: CERT/CC Advisories
  10. CERT-VN: CERT/CC vulnerability note
  11. CIAC: DOE CIAC (Computer Incident Advisory Center) bulletins
  12. CONECTIVA: Conectiva Linux advisory
  13. CONFIRM: URL to location where vendor confirms that the problem exists
  14. DEBIAN: Debian Linux Security Information
  15. EEYE: eEye security advisory
  16. EL8: EL8 advisory
  17. ENGARDE: En Garde Linux advisory
  18. FEDORA: Fedora Project security advisory
  19. FULLDISC: Full-Disclosure mailing list
  20. FreeBSD: FreeBSD security advisory
  21. GENTOO: Gentoo Linux security advisory
  22. HERT: HERT security advisory
  23. HP: HP security advisories
  24. IBM: IBM ERS/BRS advisories
  25. IMMUNIX: Immunix Linux advisory
  26. INFOWAR: INFOWAR security advisory
  27. ISS: ISS Security Advisory
  28. KSRT: KSR[T] Security Advisory
  29. L0PHT: L0pht Security Advisory
  30. MANDRAKE: Linux-Mandrake advisory
  31. MISC: generic reference from an URL
  32. MLIST: generic reference form for miscellaneous mailing lists
  33. NAI: NAI Labs security advisory
  34. NETECT: Netect security advisory
  35. NetBSD: NetBSD Security Advisory
  36. OPENBSD: OpenBSD Security Advisory
  37. REDHAT: Security advisories
  38. RSI: Repent Security, Inc. security advisory
  39. SEKURE: Sekure security advisory
  40. SF-INCIDENTS: posting to Security Focus Incidents mailing list
  41. SGI: SGI Security Advisory
  42. SLACKWARE: Slackware security advisory
  43. SNI: Secure Networks, Inc. security advisory
  44. SUN: Sun security bulletin
  45. SUNALERT: Sun security alert
  46. SUNBUG: Sun bug ID
  47. SUSE: SuSE Linux: Security Announcements
  48. TRUSTIX: Trustix Security Advisory
  49. TURBO: TurboLinux advisory
  50. VULN-DEV: Posting to VULN-DEV mailing list
  51. VULNWATCH: VulnWatch mailing list
  52. XF: X-Force Vulnerability Database
  53. CVE: CVE Candidates

Les mots clés ci-dessus sont conformes à la liste des mots clés recommandés par CVE. Vous la trouverez ici.

4 Procédure de correctif de sécurité

4.1 Ajout de correctifs de sécurité

Les correctifs de sécurité ne peuvent être appliqués qu'après vérification par l'auteur originel du programme empaqueté pour Fink et pour lequel on a détecté une vulnérabilité concernant la sécurité. L'une au moins des conditions suivantes doit être remplie avant toute mise à jour :

4.2 Passage de la branche instable à la branche stable.

Les correctifs de sécurité pour un paquet donné sont d'abord appliqués à la branche instable. Après une période d'attente maximale de 12 heures, les fichiers info (et éventuellement patch) du paquet sont aussi mis dans la branche stable. La période de rétention doit être utilisée pour vérifier soigneusement que le paquet mis à jour fonctionne et que le correctif de sécurité n'introduit pas de nouveaux problèmes.

5 Envoi des notifications

Certains utilisateurs peuvent décider de ne pas mettre à jour leurs programmes très souvent. Pour s'assurer que ceux qui ont installé des paquets à partir du source utilisent le plus vite possible des paquets corrigés (dans le cas où ces paquets ont fait l'objet d'alertes de sécurité), le mainteneur du paquet peut demander à ce qu'une notification soit envoyée sur la liste de diffusion d'annonces de Fink.

5.1 Qui envoie les notifications ?

Ces annonces ne peuvent être faites que par dmalloc@users.sourceforge.net et signé avec une clé PGP dont l'empreinte est :

C'est intentionnellement que le lien n'est pas marqué en tant que tel.

Autres membres autorisés : (ajoutez ici votre adresse email et votre clé publique comme je l'ai fait ci-dessus).

peter@pogma.com signé avec une clé PGP dont l'empreinte est :

ranger@befunk.com signé avec une clé PGP dont l'empreinte est :

5.2 Comment les envoyer

Pour donner à toutes les notifications de sécurité un aspect semblable, elles devront toutes se conformer au modèle suivant :

NdT: c'est intentionnellement que le modèle n'est pas traduit, car toute notification de sécurité doit être envoyée en anglais.

 ID: FINK-YYYY-MMDD-NN 
Reported: YYYY-MM-DD 
Updated:  YYYY-MM-DD 
Package:  package-name
Affected: <= versionid
Maintainer: maintainer-name
Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
Mac OS X version: 10.3, 10.2 
Fix: patch|upstream 
Updated by: maintainer|forced update (Email)
Description: A short description describing the issue.
References: KEYWORD (see above) Ref-URL: URL 

Exemple :

 ID:               FINK-2004-06-01
 Reported:         2004-06-09
 Updated:          2004-06-09
 Package:          cvs 
 Affected:             <= 1.11.16, <= 1.12.8
 Maintainer:       Sylvain Cuaz
 Tree(s):          10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable, 10.2-gcc3.3/unstable   
 Mac OS X version: 10.3, 10.2
 Fix:              upstream
 Updated by:       forced update (dmalloc@users.sourceforge.net)
 Description:      Multiple vulnerabilities in CVS found my ematters Security.
 References:       BID
 Ref-URL:       http://www.securityfocus.com/bid/10499
 References:       CVE
 Ref-URL:       http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
 References:       CVE
 Ref-URL:       http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
 References:       CVE
 Ref-URL:       http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
 References:       CVE
 Ref-URL:       http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
 References:       FULLDISCURL
 Ref-URL:       http://lists.netsys.com/pipermail/full-disclosure/2004-June/022441.html
 References:       MISC
 Ref-URL:       http://security.e-matters.de/advisories/092004.html

Notez que les mots clés Affected correspondent à toutes les versions vulnérables du logiciel et non pas aux seules versions empaquetées pour Fink. L'exemple ci-dessus le montre clairement.


Copyright Notice

Copyright (c) 2001 Christoph Pfisterer, Copyright (c) 2001-2015 The Fink Project. You may distribute this document in print for private purposes, provided the document and this copyright notice remain complete and unmodified. Any commercial reproduction and any online publication requires the explicit consent of the author.


Generated from $Fink: sec-policy.fr.xml,v 1.4 2005/02/01 08:32:49 michga Exp $