Available Languages: | Deutsch | English | Français | 日本語 (Nihongo) | Português | 中文 (简) (Simplified Chinese) |

Política geral de segurança do Fink para pacotes aceitos

Este documento explica como o Fink lida com os incidentes de segurança referentes a pacotes que foram aceitos pelo Fink. ainda que a responsabilidade principal seja do mantenedor do pacote, o Fink reconhece a necessidade de oferecer uma política uniforme de como reagir a incidentes de segurança encontrados em softwares que são oferecidos como pacotes do Fink. Cada mantenedor de pacote é obrigado a cumprir essa política.

Contents

1 Responsabilidade

1.1 Quem é responsável?

Todo pacote do Fink possui um mantenedor. O mantenedor de um pacote específico pode ser determinado pelo comando fink info nomedopacote executado na linha de comando. Ele irá retornar uma listagem com um campo similar a este: Maintainer: Fink Core Group <fink-core@lists.sourceforge.net>. O mantenedor é integralmente responsável por seu(s) pacote(s).

1.2 Quem devo contactar?

Caso haja incidentes de segurança em uma determinada parte de um software empacotado, você deve notificar o mantenedor do pacote bem como o Grupo Central do Fink. O email do mantenedor pode ser encontrado pelo comando da seção anterior e o email do Grupo Central do Fink é fink-core@lists.sourceforge.net

1.3 Pré-Notificações

Incidentes sérios de segurança em software empacotado pelo Fink pode requerer que você pré-notifique o mantenedor daquele pacote. Como é possível que o mantenedor não possa ser encontrado em tempo hábil, pré-notificações devem ser sempre enviadas ao Time de Segurança do Fink. O email de cada membro do time está listado individualmente mais ao fim deste documento. Por favor, observe que, como o histórico da lista fink-core@lists.sourceforge.net está disponível publicamente, pré-notificações privadas nunca devem ser enviadas àquela lista.

1.4 Resposta

Relatórios sobre um incidente de segurança que tenham sido submetidos serão respondidos pelo Grupo Central do Fink. O Fink obriga cada mantenedor a confirmar individualmente o problema relatado. No caso improvável de o mantenedor não estar disponível e não confirmar o relatório dentro de 24 horas, uma observação deve ser enviada ao Grupo Central do Fink informando o time de que o mantenedor pode não estar respondendo.

Caso você haja tentado notificar o mantenedor do pacote em questão mas o sistema de email retornou um erro de entrega para aquele email, você deve notificar o Grupo Central do Fink imediatamente para informar-lhes que o mantenedor não pode ser contactado e que o pacote pode ser atualizado independentemente do mantenedor.

2 Tempos de resposta e ações imediatas

Tempos de resposta e ações tomadas dependem muito da severidade da perda introduzida por uma falha em particular no software que foi empacotado pelo Fink. De qualquer forma, o Grupo Central do Fink tomará ação imediata sempre que houver a percepção de que é necessário proteger a comunidade de usuários do Fink.

2.1 Tempos de resposta

Cada pacote deve primar por respeitar os tempos de resposta seguintes. Para alguns tipos de vulnerabilidades, o Grupo Central do Fink pode escolher agir imediatamente. Se este for o caso, um dos membros do Grupo Central notificará o mantenedor do pacote em questão. Além disso, lembre-se de que, ainda que tentemos respeitar estes tempos de resposta, o Fink é um esforço de voluntários, e por conseguinte não podemos garanti-los.

VulnerabilityRepsonse time
root exploit remoto

mínimo: imediato; máximo: 12 horas.

root exploit local

mínimo: 12 horas; máximo: 36 horas.

DOS remoto

mínimo: 6 horas; máximo: 12 horas.

DOS local

mínimo: 24 horas; máximo: 72 horas.

corrupção de dados remotos

mínimo: 12 horas; máximo: 24 horas.

corrupção de dados locais

mínimo: 24 horas; máximo: 72 horas.

2.2 Atualizações forçadas

Um membro do Grupo Central do Fink pode optar por atualizar um pacote sem esperar que o mantenedor aja primeiro. Isto é chamado de atualização forçada. Caso o tempo de resposta máximo exigido por uma vulnerabilidade específica em um pacote do Fink não seja respeitado, isto também resulta em uma atualização forçada daquele pacote.

3 Fontes de incidentes

3.1 Fontes de incidentes aceitas

Como relator de um incidente segurança em um software empacotado pelo Fink, você deve garantir que a vulnerabilidade do software também existe no Mac OS X. É responsabilidade da parte notificadora garantir que uma das seguintes fontes reforce o problema relatado para o software em questão.

  1. AIXAPAR: AIX APAR (Authorised Problem Analysis Report)
  2. APPLE: Apple Security Update
  3. ATSTAKE: @stake security advisory
  4. AUSCERT: AUSCERT advisory
  5. BID: Security Focus Bugtraq ID database entry
  6. BINDVIEW: BindView security advisory
  7. BUGTRAQ: Posting to Bugtraq mailing list
  8. CALDERA: Caldera security advisory
  9. CERT: CERT/CC Advisories
  10. CERT-VN: CERT/CC vulnerability note
  11. CIAC: DOE CIAC (Computer Incident Advisory Center) bulletins
  12. CONECTIVA: Conectiva Linux advisory
  13. CONFIRM: URL do local onde o fornecedor confirma que o problema existe
  14. DEBIAN: Debian Linux Security Information
  15. EEYE: eEye security advisory
  16. EL8: EL8 advisory
  17. ENGARDE: En Garde Linux advisory
  18. FEDORA: Fedora Project security advisory
  19. FULLDISC: Full-Disclosure mailing list
  20. FreeBSD: FreeBSD security advisory
  21. GENTOO: Gentoo Linux security advisory
  22. HERT: HERT security advisory
  23. HP: HP security advisories
  24. IBM: IBM ERS/BRS advisories
  25. IMMUNIX: Immunix Linux advisory
  26. INFOWAR: INFOWAR security advisory
  27. ISS: ISS Security Advisory
  28. KSRT: KSR[T] Security Advisory
  29. L0PHT: L0pht Security Advisory
  30. MANDRAKE: Linux-Mandrake advisory
  31. MISC: referência a uma URL genérica
  32. MLIST: referência genérica a listas de discussão
  33. NAI: NAI Labs security advisory
  34. NETECT: Netect security advisory
  35. NetBSD: NetBSD Security Advisory
  36. OPENBSD: OpenBSD Security Advisory
  37. REDHAT: Security advisories
  38. RSI: Repent Security, Inc. security advisory
  39. SEKURE: Sekure security advisory
  40. SF-INCIDENTS: mensagem na lista de discussão Security Focus Incidents
  41. SGI: SGI Security Advisory
  42. SLACKWARE: Slackware security advisory
  43. SNI: Secure Networks, Inc. security advisory
  44. SUN: Sun security bulletin
  45. SUNALERT: Sun security alert
  46. SUNBUG: Sun bug ID
  47. SUSE: SuSE Linux: Security Announcements
  48. TRUSTIX: Trustix Security Advisory
  49. TURBO: TurboLinux advisory
  50. VULN-DEV: Posting to VULN-DEV mailing list
  51. VULNWATCH: VulnWatch mailing list
  52. XF: X-Force Vulnerability Database
  53. CVE: CVE Candidates

As palavras-chaves acima estão de acordo com a lista de palavras-chaves recomendadas pelo CVE.

4 Política de atualização de segurança

4.1 Adicionando atualizações relacionadas a segurança

Atualizações de segurança só podem ser aplicadas uma vez que tenham sido verificadas pelo autor original do software que foi empacotado para o Fink e no qual foi encontrada uma vulnerabilidade de segurança. Antes de uma atualização, uma ou mais das condições a seguir deve valer:

4.2 Movendo de stable para unstable

Atualizações de segurança de um pacote específico serão primeiramente aplicadas na árvore unstable. Após um período de espera de pelo menos 12 horas, os arquivos com descrições e ajustes do pacote também serão movidos para a árvore stable. O período de retenção deve ser usado para observar cuidadosamente se o pacote atualizado funciona e a atualização de segurança não introduz novos problemas.

5 Enviando notificações

Alguns usuários podem escolher não atualizar seus softwares frequentemente. Para garantir que aqueles que instalam seus pacotes a partir do código fonte atualizem pacotes com vulnerabilidades o mais cedo possível, um mantenedor pode solicitar que uma notificação seja enviada à lista de anúncios do Fink.

5.1 Quem pode enviá-las?

Estes anúncios somente podem ser enviados pelo Time de Segurança do Fink. A maior parte dos anúncios será enviada por dmalloc@users.sourceforge.net, assinados pela chave PGP com a seguinte impressão digital:

O endereço acima foi intencionalmente não assinalado como um link.

Outros membros do time com autorização são:

peter@pogma.com assinado pela chave PGP com a seguinte impressão digital:

ranger@befunk.com assinado pela chave PGP com a seguinte impressão digital:

5.2 Como submeter

Para garantir uma apresentação comum para as notificações de segurança, todas devem seguir o seguinte modelo padrão.

 ID: FINK-YYYY-MMDD-NN 
                        Reported: YYYY-MM-DD 
                        Updated:  YYYY-MM-DD 
                        Package:  package-name
                        Affected: <= versionid
                        Maintainer: maintainer-name
                        Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
                        Mac OS X version: 10.3, 10.2 
                        Fix: patch|upstream 
                        Updated by: maintainer|forced update (Email)
                        Description: A short description describing the issue.
                        References: KEYWORD (see above) 
			Ref-URL: URL 
			

Um relatório de exemplo pode-se parecer com:

 ID: FINK-2004-06-01 
                        Reported:             2004-06-09 
                        Updated:              2004-06-09 
                        Package:              cvs
                        Affected:             <= 1.11.16, <= 1.12.8
                        Maintainer:           Sylvain Cuaz 
                        Tree(s):    10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable 
                        Mac OS X version: 10.3, 10.2 
                        Fix: upstream
                        Updated by: forced update (dmalloc@users.sourceforge.net)
                        Description: Multiple vulnerabilities in CVS found by Ematters
                        Security. 
			References: BID 
                        Ref-URL:    http://www.securityfocus.com/bid/10499 
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
                        References: FULLDISCURL 
                        Ref-URL:    http://lists.netsys.com/pipermail/full-disclosure/2004-June/022441.html
                        References: MISC 
                        Ref-URL:    http://security.e-matters.de/advisories/092004.html 

Por favor, observe que a palavra-chave Affected se refere a todas as versões do software vulneráveis e não apenas aquela que tenha sido empacotada para o Fink. O relatório de exemplo mostra isto claramente.


Copyright Notice

Copyright (c) 2001 Christoph Pfisterer, Copyright (c) 2001-2015 The Fink Project. You may distribute this document in print for private purposes, provided the document and this copyright notice remain complete and unmodified. Any commercial reproduction and any online publication requires the explicit consent of the author.


Generated from $Fink: sec-policy.pt.xml,v 1.2 2009/07/26 11:13:27 monipol Exp $