Available Languages: | Deutsch | English | Français | 日本語 (Nihongo) | Português | 中文 (简) (Simplified Chinese) |

Fink 软件包的通用安全政策

本文档解释对已被 Fink 接纳的软件包的安全性意外的处理规则。虽然对于每个被接纳的软件包的主要责任仍然在于它们相应的维护者,但是 Fink 项目组仍然人为有必要提供统一的规则以应对可能发生的安全性意外事件。每个 Fink 软件包的维护者都应该遵循这个规则。

Contents

1 责任

1.1 由谁负责?

每个 Fink 软件包都有一个维护人。可以在命令行输入 fink info packagename 命令来查询到这个维护人。这会返回一系列信息,其中一段类似: Maintainer: Fink Core Group <fink-core@lists.sourceforge.net>。维护者对他/她的软件包负有全部责任。

1.2 我应该联系谁?

如果你发现某个软件包存在安全性问题,你应该通知该软件包的维护者以及 Fink 核心团队。维护者的电子又见可以在软件包信息里面找到,而 Fink 核心团队 的是 fink-core@lists.sourceforge.net

1.3 预通知

我们要求你对于 Fink 的严重安全性问题需要预先通知软件包的维护者。由于不一定能在固定的事件内联系到维护者,预通知同时也应该提交到 Fink 安全团队。该团队的每个成员的电子邮件地址会在本文档的稍后地方列出。请注意 fink-core@lists.sourceforge.net 是一个公开的邮件列表,内部性的预通知绝对不能发送到这个列表中。

1.4 回应

关于安全性问题所提交的报告会由 Fink 核心团队进行回应。每个维护者都被要求自行回复处理被报告的问题。在不太常见的情况下,如果找不到维护者或维护者不能在 24 小时之内回复,应该向 Fink 核心团队 发送信息通知他们维护者似乎没有回应。

如果你尝试通知维护者但是却被邮件系统退信,你应该立即通知 Fink 核心团队联系不到维护者这样软件包可以不经过维护者而得到更新。

2 响应时间和立即行动。

响应时间和才于的行动主要取决于由于 Fink 中包含的这个软件包安全性漏洞可能导致的损失的严重程度。在任何情况下,如果 Fink 核心团队必须立刻保护 Fink 用户社区,它将会采取立即的行动。

2.1 响应时间

每个软件包都应该争取达到下面的响应时间。 对一些脆弱性的问题 Fink 核心团队可能会采取立即的行动。在这种情况下,一个核心团队的成员会通知可能存在问题的软件包的维护者。另外,请注意虽然我们努力达到这个响应时间标准,但 Fink 是一个志愿者活动,因此我们并不能保证一定可以达到这点。

VulnerabilityRepsonse time
远程 root 权限获取

最短时间:立即;最长时间:12 小时。

本地 root 权限获取

最短时间:12 小时;最长时间:36 小时。

远程 DoS(拒绝服务攻击)

最短时间:6 小时;最长时间:12 小时。

本地 DoS

最短时间:24 小时;最长时间:72 小时。

远程数据破坏

最短时间:12 小时;最长时间:24 小时。

本地数据破坏

最短时间:24 小时;最长时间:72 小时。

2.2 强制更新

Fink 核心团队中的一个成员有可能会选择更新软件包而不等待软件包的维护者先采取行动。这称为强制更新。对导致某些脆弱性问题的软件包未能在最长时间要求内完成更新也会导致一次强制更新。

3 安全漏洞信息来源

3.1 可接受的漏洞信息来源

作为安全漏洞的提交者,你有责任确定软件的脆弱性的确存在于 Mac OS X 中。作为通知方的责任,他应该使下面的组织之一确认可疑的问题的确存在。

  1. AIXAPAR: AIX APAR (Authorised Problem Analysis Report)
  2. APPLE: Apple Security Update
  3. ATSTAKE: @stake security advisory
  4. AUSCERT: AUSCERT advisory
  5. BID: Security Focus Bugtraq ID database entry
  6. BINDVIEW: BindView security advisory
  7. BUGTRAQ: Posting to Bugtraq mailing list
  8. CALDERA: Caldera security advisory
  9. CERT: CERT/CC Advisories
  10. CERT-VN: CERT/CC vulnerability note
  11. CIAC: DOE CIAC (Computer Incident Advisory Center) bulletins
  12. CONECTIVA: Conectiva Linux advisory
  13. CONFIRM: URL to location where vendor confirms that the problem exists
  14. DEBIAN: Debian Linux Security Information
  15. EEYE: eEye security advisory
  16. EL8: EL8 advisory
  17. ENGARDE: En Garde Linux advisory
  18. FEDORA: Fedora Project security advisory
  19. FULLDISC: Full-Disclosure mailing list
  20. FreeBSD: FreeBSD security advisory
  21. GENTOO: Gentoo Linux security advisory
  22. HERT: HERT security advisory
  23. HP: HP security advisories
  24. IBM: IBM ERS/BRS advisories
  25. IMMUNIX: Immunix Linux advisory
  26. INFOWAR: INFOWAR security advisory
  27. ISS: ISS Security Advisory
  28. KSRT: KSR[T] Security Advisory
  29. L0PHT: L0pht Security Advisory
  30. MANDRAKE: Linux-Mandrake advisory
  31. MISC: generic reference from an URL
  32. MLIST: generic reference form for miscellaneous mailing lists
  33. NAI: NAI Labs security advisory
  34. NETECT: Netect security advisory
  35. NetBSD: NetBSD Security Advisory
  36. OPENBSD: OpenBSD Security Advisory
  37. REDHAT: Security advisories
  38. RSI: Repent Security, Inc. security advisory
  39. SEKURE: Sekure security advisory
  40. SF-INCIDENTS: posting to Security Focus Incidents mailing list
  41. SGI: SGI Security Advisory
  42. SLACKWARE: Slackware security advisory
  43. SNI: Secure Networks, Inc. security advisory
  44. SUN: Sun security bulletin
  45. SUNALERT: Sun security alert
  46. SUNBUG: Sun bug ID
  47. SUSE: SuSE Linux: Security Announcements
  48. TRUSTIX: Trustix Security Advisory
  49. TURBO: TurboLinux advisory
  50. VULN-DEV: Posting to VULN-DEV mailing list
  51. VULNWATCH: VulnWatch mailing list
  52. XF: X-Force Vulnerability Database
  53. CVE: CVE Candidates

上面的关键字附和这里的关键字列表标准 CVE。

4 安全性更新流程

4.1 添加安全性有关更新。

安全性更新只能在软件包的原作者检验并发现是安全性问题以后才可实施。在更新之前,必须 附和下述条件之一或以上:

4.2 Unstable 到 stable 的迁移。

对某个软件包的安全性更新会首先应用在 unstable 分支。经过不少于 12 小时的间隔以后软件包的信息文件(最终还将包括补丁文件)会同样放入 stable 分支。这个间隔时间应该用来密切注视更新软件包的工作情况以及安全更新不会导致新的安全问题。

5 发送通知

有些用户不会很经常地更新他们的软件。为了确保那些从源代码安装软件包的用户可以尽快更新发生问题的软件包,维护者可以向 Fink 通知邮件列表发送邮件要求发送通知。

5.1 谁应该发送它们?

这些通知应该只由 Fink 安全团队发布。 多数通知会发自 dmalloc@users.sourceforge.net,邮件会用 PGP 密钥签署,其指纹为:

上述网址是特意设为非链接的。

其它被授权的团队成员包括:(here you add your email + public key like I did above)

peter@pogma.com,PGP 密钥指纹为:

其它被授权的团队成员包括:(here you add your email + public key like I did above)

ranger@befunk.com,PGP 密钥指纹为:

5.2 如何提交

为了确保安全性通知有统一的形式,所有安全性通知必须符合下面的模板。

 ID: FINK-YYYY-MMDD-NN 
                        Reported: YYYY-MM-DD 
                        Updated:  YYYY-MM-DD 
                        Package:  package-name
                        Affected: <= versionid
                        Maintainer: maintainer-name
                        Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
                        Mac OS X version: 10.3, 10.2 
                        Fix: patch|upstream 
                        Updated by: maintainer|forced update (Email)
                        Description: A short description describing the issue.
                        References: KEYWORD (see above) Ref-URL: URL 

样板的报告应该大致是这样的:

 ID: FINK-2004-06-01 
                        Reported:         2004-06-09 
                        Updated:          2004-06-09 
                        Package:          cvs 
                        Affected:             <= 1.11.16, <= 1.12.8
                        Maintainer:       Sylvain Cuaz 
                        Tree(s):    10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable 
                        Mac OS X version: 10.3, 10.2 
                        Fix: upstream
                        Updated by: forced update (dmalloc@users.sourceforge.net)
                        Description: Multiple vulnerabilities in CVS found my Ematters
                        Security. References: BID 
                        Ref-URL:    http://www.securityfocus.com/bid/10499 
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
                        References: FULLDISCURL 
                        Ref-URL:    http://lists.netsys.com/pipermail/full-disclosure/2004-June/022441.html
                        References: MISC 
                        Ref-URL:    http://security.e-matters.de/advisories/092004.html 

请注意 Affected 关键字所指的软件包并不只包含 Fink 中的软件包。在样本报告中很清楚地展示了这点。


Copyright Notice

Copyright (c) 2001 Christoph Pfisterer, Copyright (c) 2001-2015 The Fink Project. You may distribute this document in print for private purposes, provided the document and this copyright notice remain complete and unmodified. Any commercial reproduction and any online publication requires the explicit consent of the author.


Generated from $Fink: sec-policy.zh.xml,v 1.6 2005/04/09 16:12:59 babayoshihiko Exp $