Available Languages: | Deutsch | English | Français | 日本語 (Nihongo) | Português | 中文 (简) (Simplified Chinese) |

認可済みパッケージに関する一般 Fink セキュリティポリシー

この文書は、 Fink に受け入れられたパッケージに関わるセキュリティ案件の取り扱いを解説します。 Fink では、パッケージへの主な責任主体はメンテナにありますが、 Fink パッケージとして提供されるソフトウェアのセキュリティ案件にどう対処するかという関する統一的なポリシーの必要性も認識しています。

Contents

1 責任

1.1 誰が責任を負うのか?

Fink のパッケージには、一つにつきメンテナが一人つきます。 特定のパッケージのメンテナは、コマンドラインプロンプトで fink info packagename でわかります。 これにより、このような一覧が返ってきます。 Maintainer: Fink Core Group <fink-core@lists.sourceforge.net> メンテナはパッケージに対して全ての責任を負います。 各メンテナは従う必要があります。

1.2 誰にコンタクトしたら良いか?

あるパッケージソフトウェアに関するセキュリティ案件が有る場合、メンテナと Fink Core Team. に知らせてください。 メンテナのメールアドレスはパッケージ記述にあります。 Fink Core Team. のメールアドレスはfink-core@lists.sourceforge.net です。

1.3 事前通告

Fink パッケージ化されているソフトウェの深刻なセキュリティ案件は、事前に知らせる必要があるでしょう。 メンテナがすぐに対応できるとは限らないため、このような場合 Fink Security Team にも報告してください。 チームメンバーのメールは、それぞれこの文書の最後に書かれています。 fink-core@lists.sourceforge.net は公開されているメーリングリストです。 守秘の必要のある事前報告はこのリストには送らないでください

1.4 返答

報告されたセキュリティ案件は Fink Core Team によって返答されます。 各メンテナはそれぞれ報告を認識する必要があります。 メンテナが不在で24時間以内に報告を認識しない場合、 Fink Core Team にメンテナが返答できないかもしれないという情報が伝わります。

パッケージメンテナに知らせようと思ったが、メールシステムにより送信エラーが返ってきた場合、 Fink Core Team に直ちにメンテナが捕まらないと連絡してください。 パッケージは、メンテナに関わり無く直ちに更新されます。

2 返答時間と即時行動

返答時間と行動は Fink パッケージ化されたソフトウェアの欠陥による損失の度合いによって変わります。 どのような場合であれ、 Fink Core Team は Fink コミュニティを守るために必要と思われる行動を直ちにとります。

2.1 応答時間

各パッケージは以下の返答時間を満たすよう最大限の努力を払わなければならない。 問題によっては、 Fink Core Team が即時行動をとることもある。 このような場合、 Core Team のメンバーがメンテナに告知を行う。 返答時間を満たすよう最大限の努力を払うが、 Fink は有志による活動のため、保証はできない。

問題返答時間
remote root exploit

minimum: immediate; maximum: 12 hours.

local root exploit

minimum: 12 hours; maximum: 36 hours.

remote DOS

minimum: 6 hours; maximum: 12 hours.

local DOS

minimum: 24 hours; maximum: 72 hours.

remote data corruption

minimum: 12 hours; maximum: 24 hours.

local data corruption

minimum: 24 hours; maximum: 72 hours.

2.2 強制更新

Fink Core Team は、パッケージメンテナの行動を待たずしてパッケージを更新することがある。 これは強制更新 (forced update) と呼ばれる。 返答の最大時間を満たしていない特にも forced update が行使される。

3 事件ソース

3.1 許可される事件ソース

Fink パッケージ化ソフトウェアのセキュリティ案件報告者として、ソフトウェアの問題が Mac OS X でも発生することを確認しなければならない。 報告者は、当該ソフトウェアの問題が下記のソースのいずれかで報告されていることを確認する責任を有する。

  1. AIXAPAR: AIX APAR (Authorised Problem Analysis Report)
  2. APPLE: Apple Security Update
  3. ATSTAKE: @stake security advisory
  4. AUSCERT: AUSCERT advisory
  5. BID: Security Focus Bugtraq ID database entry
  6. BINDVIEW: BindView security advisory
  7. BUGTRAQ: Posting to Bugtraq mailing list
  8. CALDERA: Caldera security advisory
  9. CERT: CERT/CC Advisories
  10. CERT-VN: CERT/CC vulnerability note
  11. CIAC: DOE CIAC (Computer Incident Advisory Center) bulletins
  12. CONECTIVA: Conectiva Linux advisory
  13. CONFIRM: URL to location where vendor confirms that the problem exists
  14. DEBIAN: Debian Linux Security Information
  15. EEYE: eEye security advisory
  16. EL8: EL8 advisory
  17. ENGARDE: En Garde Linux advisory
  18. FEDORA: Fedora Project security advisory
  19. FULLDISC: Full-Disclosure mailing list
  20. FreeBSD: FreeBSD security advisory
  21. GENTOO: Gentoo Linux security advisory
  22. HERT: HERT security advisory
  23. HP: HP security advisories
  24. IBM: IBM ERS/BRS advisories
  25. IMMUNIX: Immunix Linux advisory
  26. INFOWAR: INFOWAR security advisory
  27. ISS: ISS Security Advisory
  28. KSRT: KSR[T] Security Advisory
  29. L0PHT: L0pht Security Advisory
  30. MANDRAKE: Linux-Mandrake advisory
  31. MISC: generic reference from an URL
  32. MLIST: generic reference form for miscellaneous mailing lists
  33. NAI: NAI Labs security advisory
  34. NETECT: Netect security advisory
  35. NetBSD: NetBSD Security Advisory
  36. OPENBSD: OpenBSD Security Advisory
  37. REDHAT: Security advisories
  38. RSI: Repent Security, Inc. security advisory
  39. SEKURE: Sekure security advisory
  40. SF-INCIDENTS: posting to Security Focus Incidents mailing list
  41. SGI: SGI Security Advisory
  42. SLACKWARE: Slackware security advisory
  43. SNI: Secure Networks, Inc. security advisory
  44. SUN: Sun security bulletin
  45. SUNALERT: Sun security alert
  46. SUNBUG: Sun bug ID
  47. SUSE: SuSE Linux: Security Announcements
  48. TRUSTIX: Trustix Security Advisory
  49. TURBO: TurboLinux advisory
  50. VULN-DEV: Posting to VULN-DEV mailing list
  51. VULNWATCH: VulnWatch mailing list
  52. XF: X-Force Vulnerability Database
  53. CVE: CVE Candidates

上記のキーワードは CVE 推奨キーワード一覧による。

4 セキュリティ更新手段

4.1 セキュリティ関連の更新の追加

セキュリティ更新は、 Fink パッケージ化されて問題が発見されたときに、ソフトウェアの作者によって確認されたときに一度だけ行う。 更新の前に、下記の条件が満たされる必要がある

4.2 unstable から stable への移動

あるパッケージのセキュリティ更新は、まず unstable ツリーに対して行われます。 12 時間以内にパッケージの info (とパッチ) ファイルは stable ツリーに移されます。 この間は、更新されたパッケージが動作し、新たな問題を起こさないことを確認します。

5 告知

ユーザーによっては頻繁にソフトウェアを更新しない人もいます。 セキュリティ上の問題があるパッケージを使っている人々に知らせるために、 Fink announce リストに告知を出します。

5.1 誰が告知するか?

この場合の告知は Fink Security Team によってのみ送信されます。 ほとんどの場合、下記の PGP キーフィンガープリント付きの dmalloc@users.sourceforge.net から送信されます :

上記は故意にリンクされていません。

他の正式なチームメンバーは (ここに皆の公開鍵を追加):

peter@pogma.com が署名した PGP キーの指紋:

ranger@befunk.com が署名した PGP キーの指紋:

5.2 送信の方法

通常のセキュリティ告知のように、全てのセキュリティ告知は下記のテンプレートに沿って書かれます

 ID: FINK-YYYY-MMDD-NN 
                        Reported: YYYY-MM-DD 
                        Updated:  YYYY-MM-DD 
                        Package:  package-name
                        Affected: <= versionid
                        Maintainer: maintainer-name
                        Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
                        Mac OS X version: 10.3, 10.2 
                        Fix: patch|upstream 
                        Updated by: maintainer|forced update (Email)
                        Description: A short description describing the issue.
                        References: KEYWORD (see above) Ref-URL: URL 

以下は例です:

 ID: FINK-2004-06-01 
                        Reported:             2004-06-09 
                        Updated:              2004-06-09 
                        Package:              cvs
                        Affected:             <= 1.11.16, <= 1.12.8
                        Maintainer:           Sylvain Cuaz 
                        Tree(s):    10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable 
                        Mac OS X version: 10.3, 10.2 
                        Fix: upstream
                        Updated by: forced update (dmalloc@users.sourceforge.net)
                        Description: Multiple vulnerabilities in CVS found my ematters
                        Security. References: BID 
                        Ref-URL:    http://www.securityfocus.com/bid/10499 
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
                        References: FULLDISCURL 
                        Ref-URL:    http://lists.netsys.com/pipermail/full-disclosure/2004-June/022441.html
                        References: MISC 
                        Ref-URL:    http://security.e-matters.de/advisories/092004.html 

Affected キーワードは、 Fink パッケージ化されたものlだけでなく、全てのバージョンを指します。 例でわかるでしょう。


Copyright Notice

Copyright (c) 2001 Christoph Pfisterer, Copyright (c) 2001-2015 The Fink Project. You may distribute this document in print for private purposes, provided the document and this copyright notice remain complete and unmodified. Any commercial reproduction and any online publication requires the explicit consent of the author.


Generated from $Fink: sec-policy.ja.xml,v 1.2 2005/02/04 09:30:20 babayoshihiko Exp $