diff --git a/website/content/ru/security/_index.adoc b/website/content/ru/security/_index.adoc --- a/website/content/ru/security/_index.adoc +++ b/website/content/ru/security/_index.adoc @@ -3,155 +3,123 @@ sidenav: support --- -include::shared/authors.adoc[] +include::shared/en/urls.adoc[] include::shared/releases.adoc[] = Информационная безопасность FreeBSD == Введение -Эта веб-страница предназначена для помощи начинающим и опытным пользователям в области информационной безопасности FreeBSD. Во FreeBSD вопросы безопасности воспринимаются весьма серьёзно и постоянно идет работа над тем, чтобы сделать ОС защищённой настолько, насколько это вообще возможно. +FreeBSD относится к безопасности очень серьёзно, и её разработчики постоянно работают над тем, чтобы сделать операционную систему максимально защищённой. На этой странице представлена информация о том, что делать в случае обнаружения уязвимости безопасности, затрагивающей вашу систему. == Содержание -* <> -* <> -* <> +* <> +* <> +* <> +* <> * <> -* <> +* <> -== Дополнительные ресурсы, посвященные информационной безопасности +[[reporting]] +== Как и куда сообщать о проблеме в информационной безопасности FreeBSD -* link:https://www.FreeBSD.org/security/charter[Устав Офицера и службы информационной безопасности] -* link:advisories[Список бюллетеней информационной безопасности FreeBSD] -* link:notices[Список уведомлений об исправлениях FreeBSD] -* link:{handbook}#security-advisories[Чтение сообщений информационной безопасности FreeBSD] +Все проблемы информационной безопасности FreeBSD следует направлять на адрес mailto:secteam@FreeBSD.org[службы информационной безопасности FreeBSD] или, если необходим более высокий уровень конфиденциальности, в зашифрованном при помощи PGP виде на адрес mailto:security-officer@FreeBSD.org[службы Директора по информационной безопасности], используя link:../../security/so_public_key.asc[ключ PGP Офицера информационной безопасности]. Дополнительная информация доступна на странице link:reporting/[сообщения об инцидентах безопасности FreeBSD]. -[[how]] -== Как и куда сообщать о проблеме информационной безопасности FreeBSD +[[when-reporting]] +== Когда выпускается бюллетень безопасности (Security Advisory)? -Все проблемы информационной безопасности FreeBSD следует направлять на адрес mailto:secteam@FreeBSD.org[службы информационной безопасности FreeBSD] или, если необходим более высокий уровень конфиденциальности, в зашифрованном в PGP виде на адрес mailto:security-officer@FreeBSD.org[службы Офицера информационной безопасности], используя link:&enbase;/security/so_public_key.asc[ключ PGP Офицера информационной безопасности]. Как минимум, все сообщения должны содержать: +По каждому сообщённому вопросу создаётся внутренний номер для отслеживания, кроме случаев, когда он очевидно не является проблемой безопасности. Чтобы определить, требуется ли выпуск бюллетень безопасности, мы используем следующую схему: -* Описание уязвимости. -* Какие версии FreeBSD предположительно затронуты, по возможности. -* Любые состоятельные пути обхода проблемы. -* Примеры кода, по возможности. +* Является ли это уязвимостью повышения привилегий? +* Является ли это уязвимостью внедрения кода? +* Является ли это уязвимостью раскрытия памяти или утечки данных? +** Исходящей либо из ядра +** Из привилегированного процесса +** Из процесса, принадлежащего другому пользователю? +* Является ли это уязвимостью отказа в обслуживании? +** Только если она используется удалённо, где «удалённо» означает «из другого широковещательного домена», поэтому атаки на основе ARP и/или NDP не подпадают под эту категорию. +* Является ли это уязвимостью обхода изоляции системы без дополнительной поддержки или использования других уязвимостей? +* Является ли это сбоем, который может привести к генерации небезопасных криптографических ключей, например, ошибкой PRNG? -После сообщения этой информации с вами свяжется Офицер информационной безопасности или представитель службы информационной безопасности. +Для пунктов, подпадающих под эти категории, выпуск бюллетеня безопасности весьма вероятен. Пункты, не входящие в этот список, рассматриваются индивидуально, и тогда определяется, будет ли по ним выпущен бюллетень безопасности или уведомление об ошибке (Errata Notice). -=== Спам-фильтры +После того как будет определено, что выпуск бюллетеня безопасности обоснован, отправитель предоставляет номер CVE, если он уже был запрошен, или мы используем номер из доступного пула FreeBSD. -В связи с высоким уровнем спама основные контактные почтовые адреса по информационной безопасности подвергаются фильтрации спама. Если Вы не можете связаться с Офицерами информационной безопасности FreeBSD или со службой информационной безопасности из-за спам-фильтров (или предполагаете, что ваш адрес был отфильтрован), пожалуйста, отправьте письмо на `security-officer-XXXX@FreeBSD.org` с заменой _XXXX_ на `3432` вместо использования обычных адресов. Обратите внимание, что этот адрес будет периодически меняться, поэтому следует проверять здесь последний адрес. Сообщения на этот адрес будут перенаправлены службе Офицера информационной безопасности FreeBSD. +[[recent]] +== Недавние уязвимости безопасности FreeBSD -[[sec]] -== Офицер информационной безопасности FreeBSD и служба информационной безопасности FreeBSD +Полный список всех уязвимостей безопасности, затрагивающих базовую систему, можно найти link:advisories[на этой странице]. -Для того, чтобы Проект FreeBSD мог оперативно реагировать на сообщения об уязвимостях, почтовый алиас Офицера информационной безопасности соответствует трем персонам: Офицер информационной безопасности, заместитель Офицера информационной безопасности и один член Основной группы разработчиков. Таким образом, сообщения, посланные на адрес почтового алиаса mailto:security-officer@FreeBSD.org[], доставляются следующим лицам: +Полный список всех других ошибок, затрагивающих базовую систему, можно найти link:notices[на этой странице]. -[.tblbasic] -[width="100%",cols="50%,50%",] -|=== -|{simon}|Офицер информационной безопасности -|{cperciva}|Офицер информационной безопасности, эмерит -|{rwatson}|Представитель группы по выпуску релизов, + -представитель Проекта TrustedBSD, эксперт по архитектуре системной безопасности -|{delphij}|Заместитель офицера информационной безопасности -|=== +[[advisories]] +== Объяснение бюллетеней безопасности FreeBSD -Офицер информационной безопасности поддерживается link:https://www.FreeBSD.org/administration/#t-secteam[Службой безопасности FreeBSD] mailto:secteam@FreeBSD.org[], небольшой группой коммиттеров, которую он выбирает сам. +Бюллетени, затрагивающие базовую систему, рассылаются по следующим спискам рассылки: -[[pol]] -== Политика обработки информации +* FreeBSD-security-notifications@FreeBSD.org +* FreeBSD-security@FreeBSD.org +* FreeBSD-announce@FreeBSD.org -Как общее правило, Офицер безопасности FreeBSD предпочитает полное раскрытие информации об уязвимости после достаточного перерыва на выполнение тщательного анализа и устранения уязвимости, а также соответствующего тестирования исправления и взаимодействия с другими затронутыми командами. +Список выпущенных бюллетеней можно найти на странице link:advisories[Бюллетени безопасности FreeBSD]. -Офицер безопасности _будет_ уведомлять одного или большее количество администраторов кластера об уязвимостях, которые подвергают ресурсы Проекта FreeBSD непосредственной опасности. +Бюллетени всегда подписываются с использованием link:so_public_key.asc[PGP-ключа] Директора по информационной безопасности FreeBSD и архивируются вместе со связанными с ними патчами на веб-сервере https://security.FreeBSD.org в подкаталогах https://security.FreeBSD.org/advisories/[advisories] и https://security.FreeBSD.org/patches/[patches]. -Офицер безопасности может привлечь дополнительных разработчиков FreeBSD или внешних разработчиков к обсуждению предоставленной информации об уязвимости, если требуется их экспертиза для полного понимания или исправления проблемы. Будет выполнено необходимое разграничение для минимизации ненужного распространения информации о представленной уязвимости, и все привлечённые эксперты будут действовать в соответствии с указаниями Офицера безопасности. В прошлом привлекались эксперты с большим опытом работы с высокосложными компонентами операционной системы, включая FFS, подсистему VM и стек сетевых протоколов. +Директор по информационной безопасности FreeBSD предоставляет Бюллетени безопасности для _-STABLE веток_ и _веток безопасности_. (Бюллетени не выпускаются для ветки _-CURRENT_, которая в первую очередь ориентирована на разработчиков FreeBSD.) -Если уже выполняется процесс выпуска релиза FreeBSD, то инженер, ответственный за выпуск релиза, может также быть оповещён об имеющейся уязвимости и её серьёзности, чтобы было принято решение об информировании относительно цикла выпуска релиза и наличии каких-либо серьёзных ошибок в программном обеспечении, связанном с готовящимся релизом. Если это будет необходимо, то Офицер безопасности не будет сообщать подробную информацию о природе уязвимости Инженеру по выпуску релиза, ограничиваясь информацией о её существовании и серьёзности. +* Теги ветки -STABLE имеют имена вида `stable/13`. Соответствующие сборки имеют имена вида `FreeBSD 13.2-STABLE`. +* Каждый выпуск FreeBSD имеет связанную с ним ветку безопасности. Теги веток безопасности имеют имена вида `releng/13.2`. Соответствующие сборки имеют имена вида `FreeBSD 13.2-RELEASE-p1`. -Офицер безопасности FreeBSD поддерживает тесные рабочие отношения со многими другими организациями, включая сторонних разработчиков, имеющих с FreeBSD общий код (проекты OpenBSD, NetBSD и DragonFlyBSD, Apple и другие разработчики, программное обеспечение которых основано на FreeBSD, а также разработчики Linux), и организации, которые отслеживают уязвимости и случаи нарушения информационной безопасности, такие, как CERT. Зачастую уязвимости выходят за рамки реализации FreeBSD, и (наверное, реже) могут иметь широкий резонанс для всего сетевого сообщества. В таких условиях Офицер безопасности может раскрыть информацию об уязвимости этим сторонним организациям: если вы не хотите, чтобы Офицер безопасности это делал, пожалуйста, явно укажите это в своих сообщениях. +Проблемы, затрагивающие Коллекцию портов FreeBSD, рассматриваются отдельно в https://vuxml.FreeBSD.org/[документах VuXML для FreeBSD]. -Сообщающие должны тщательно и явно указать любые свои требования относительно обработки сообщённой информации. +Ошибки, затрагивающие базовую систему, но не классифицированные как уязвимости безопасности, рассматриваются отдельно на странице link:notices[Уведомления об исправлениях FreeBSD]. -Если сообщающий об уязвимости заинтересован в координации процесса раскрытия с ним и/или другими разработчиками, это должно быть явно указано в сообщениях. При отсутствии явных требований Офицер безопасности FreeBSD выберет план раскрытия информации, который учитывает как требования оперативности, так и тестирования любых решений. Сообщающие должны иметь в виду, что если уязвимость активно обсуждается в открытых форумах (таких, как bugtraq) и используется, то Офицер Безопасности может решить не следовать предлагаемому плану по её раскрытию, для того, чтобы дать пользовательскому сообществу максимально эффективную защиту. +[[how]] +== Как обновить вашу систему -Сообщения могут быть защищены с помощью PGP. Если это нужно, то ответы также будут защищены посредством PGP. +Для пользователей, которые ранее установили бинарную версию FreeBSD (например, {rel131-current} или {rel123-current}), команды: -[[sup]] -== Поддерживаемые релизы FreeBSD +`# freebsd-update fetch` -Офицер информационной безопасности FreeBSD выпускает бюллетени безопасности для нескольких разрабатываемых веток FreeBSD. Это _Ветки -STABLE_ и _Ветки Security_. (Бюллетени не выпускаются для _Ветки -CURRENT_.) +`# freebsd-update install` -* Тэги ветки -STABLE носят имена типа `RELENG_7`. Соответствующие сборки носят названия типа `FreeBSD 7.0-STABLE`. -* Каждому релизу FreeBSD поставлена в соответствие ветка безопасности (Security Branch). Тэги веток безопасности именуются как `RELENG_7_0`. Соответствующие сборки носят названия типа `FreeBSD 7.0-RELEASE-p1`. +Если это не сработает, следуйте другим инструкциям в интересующем вас бюллетене безопасности. -Проблемы, затрагивающие Коллекцию портов FreeBSD, описываются в http://vuxml.FreeBSD.org/[документе FreeBSD VuXML]. +Обратите внимание, что приведённая выше процедура предназначена только для пользователей, которые ранее установили бинарный дистрибутив. Тем, кто собирал систему из исходных кодов, потребуется обновить своё дерево исходных кодов. -Каждая ветка поддерживается Офицером безопасности в течение ограниченного времени. Ветки разделены на типы, которые определяют срок жизни, как показано ниже. +Для получения более подробной информации обратитесь к разделу link:{handbook}cutting-edge/#freebsdupdate-security-patches[как применять патчи безопасности]. + +[[sup]] +== Поддерживаемые выпуски FreeBSD -Раннее внедрение (Early Adopter):: -Релизы, выпускаемые из ветки -CURRENT, будут поддерживаться Офицером безопасности как минимум в течение 6 месяцев после выхода. -Обычный (Normal):: -Релизы, выпускаемые из ветки -STABLE, будут поддерживаться Офицером безопасности как минимум в течение 12 месяцев после выхода и в течение дополнительного времени (если потребуется), достаточного, чтобы следующий релиз был выпущен по крайней мере за 3 месяца до истечения срока поддержки предыдущего Обычного релиза. -Расширенный (Extended):: -Отобранные релизы (обычно, каждый второй релиз и последний релиз из каждой ветки -STABLE) будут поддерживаться Офицером безопасности как минимум в течение 24 месяцев после выхода и в течение дополнительного времени (если потребуется), достаточного, чтобы следующий Расширенный релиз был выпущен по крайней мере за 3 месяца до истечения срока поддержки предыдущего Расширенного релиза. +Каждый релиз поддерживается Директором по информационной безопасности только в течение ограниченного времени. -[[supported-branches]] -Ниже приводятся текущее назначение и ожидаемое время жизни для поддерживаемых в настоящее время веток. В колонке _Ожидаемое окончание срока жизни_ указана ближайшая дата, по истечении которой будет прекращена поддержка ветки. Пожалуйста, учтите, что эти даты могут быть сдвинуты в будущее, но только исключительные обстоятельства могут привести к отказу от поддержки ветки раньше указанной даты. +Обозначения и предполагаемый срок службы всех поддерживаемых в настоящее время веток и их соответствующих релизов приведены ниже. Столбец _Ожидаемый EoL (конец срока службы)_ указывает самую раннюю дату, когда поддержка этой ветки или релиза будет прекращена. Обратите внимание, что эти даты могут быть перенесены, если того потребуют обстоятельства. + +link:unsupported[Более старые выпуски] не поддерживаются, и пользователям настоятельно рекомендуется обновиться до одного из этих поддерживаемых релизов: [.tblbasic] -[cols=",,,,",options="header",] +[cols=",,,",options="header",] |=== -|Ветка |Релиз |Тип |Дата выхода |Ожидаемое окончание срока жизни -|RELENG_8 |n/a |n/a |n/a |последний релиз + 2 года -|RELENG_8_3 |8.3-RELEASE |Расширенный |18 апреля 2012 |30 апреля 2014 -|RELENG_9 |n/a |n/a |n/a |последний релиз + 2 года -|RELENG_9_1 |9.1-RELEASE |Расширенный |30 декабря 2012 |31 декабря 2014 +|Ветка |Релиз |Дата релиза |Ожидаемый EoL (конец срока службы) +|stable/14 |н/д |н/д |30 ноября 2028 г. +|releng/14.3 |14.3-RELEASE |10 июня 2025 г. |30 июня 2026 г. +|stable/13 |н/д |н/д |30 апреля 2026 г. +|releng/13.5 |13.5-RELEASE |11 марта 2025 г. |30 апреля 2026 г. |=== -Более старые релизы не поддерживаются, а их пользователям настоятельно рекомендуется произвести обновление до одной из поддерживаемых версий, указанных выше. - -Бюллетени рассылаются в следующие списки рассылки FreeBSD: - -* FreeBSD-security-notifications@FreeBSD.org -* FreeBSD-security@FreeBSD.org -* FreeBSD-announce@FreeBSD.org - -Список выпущенных бюллетеней можно найти на странице link:advisories[FreeBSD Security Advisories]. +В преддверии выпуска может быть опубликовано несколько версий -BETA и -RC для целей тестирования. Эти релизы поддерживаются всего несколько недель, по мере наличия ресурсов, и не будут перечислены на этой странице как поддерживаемые. Пользователям настоятельно не рекомендуется использовать эти релизы в системах промышленной эксплуатации. -Бюллетени всегда подписываются с использованием link:https://www.FreeBSD.org/security/so_public_key.asc[PGP-ключа] Офицера Безопасности и помещаются, вместе с соответствующими исправлениями, на web-сервер http://security.FreeBSD.org/ в поддиректории http://security.FreeBSD.org/advisories/[advisories] и http://security.FreeBSD.org/patches/[patches]. +[[model]] +== Модель поддержки FreeBSD -[[unsup]] -== Неподдерживаемые релизы FreeBSD +В соответствии с текущей моделью поддержки стабильная ветка каждой основной версии явно поддерживается в течение 5 лет, в то время как каждый отдельный релиз с точкой поддерживается всего три месяца после выхода следующего релиза с точкой. -Следующие релизы больше не поддерживаются и приведены здесь в справочных целях. +Подробности и обоснование этой модели можно найти в https://lists.freebsd.org/pipermail/freebsd-announce/2015-February/001624.html[официальном объявлении], отправленном в феврале 2015 года. -[.tblbasic] -[cols=",,,,",options="header",] -|=== -|Ветка |Релиз |Тип |Дата выхода |Окончание срока жизни -|RELENG_4 |n/a |n/a |n/a |31 января 2007 -|RELENG_4_11 |4.11-RELEASE |Расширенный |25 января 2005 |31 января 2007 -|RELENG_5 |n/a |n/a |n/a |31 мая 2008 -|RELENG_5_3 |5.3-RELEASE |Расширенный |6 ноября 2004 |31 октября 2006 -|RELENG_5_4 |5.4-RELEASE |Обычный |9 мая 2005 |31 октября 2006 -|RELENG_5_5 |5.5-RELEASE |Расширенный |25 мая 2006 |31 мая 2008 -|RELENG_6 |n/a |n/a |n/a |30 ноября 2010 -|RELENG_6_0 |6.0-RELEASE |Обычный |4 ноября 2005 |31 января 2007 -|RELENG_6_1 |6.1-RELEASE |Расширенный |9 мая 2006 |31 мая 2008 -|RELENG_6_2 |6.2-RELEASE |Обычный |15 января 2007 |31 мая 2008 -|RELENG_6_3 |6.3-RELEASE |Расширенный |18 января 2008 |31 января 2010 -|RELENG_6_4 |6.4-RELEASE |Расширенный |28 ноября 2008 |30 ноября 2010 -|RELENG_7 |n/a |n/a |n/a |28 февраля 2013 -|RELENG_7_0 |7.0-RELEASE |Обычный |27 февраля 2008 |30 апреля 2009 -|RELENG_7_1 |7.1-RELEASE |Расширенный |4 января 2009 |28 февраля 2011 -|RELENG_7_2 |7.2-RELEASE |Обычный |4 мая 2009 |30 июня 2010 -|RELENG_7_3 |7.3-RELEASE |Расширенный |23 марта 2010 |31 марта 2012 -|RELENG_7_4 |7.4-RELEASE |Расширенный |24 февраля 2011 |28 февраля 2013 -|RELENG_8_0 |8.0-RELEASE |Обычный |25 ноября 2009 |30 ноября 2010 -|RELENG_8_1 |8.1-RELEASE |Расширенный |23 июля 2010 |31 июля 2012 -|RELENG_8_2 |8.2-RELEASE |Обычный |24 февраля 2011 |31 июля 2012 -|RELENG_9_0 |9.0-RELEASE |Обычный |10 января 2012 |31 марта 2013 -|=== +// +// The FreeBSD Russian Documentation Project +// +// Original EN revision (15.10.2025): a3c08199268bed7b921428d6e39f095a0758c333 +// diff --git a/website/content/ru/security/advisories.adoc b/website/content/ru/security/advisories.adoc --- a/website/content/ru/security/advisories.adoc +++ b/website/content/ru/security/advisories.adoc @@ -9,3 +9,11 @@ Данная веб страница содержит список выпущенных бюллетеней безопасности FreeBSD. По общим вопросам безопасности FreeBSD обращайтесь к странице link:..[информационной безопасности FreeBSD]. Выпуски, затрагивающие коллекцию портов FreeBSD, представлены в документе http://vuxml.FreeBSD.org/[FreeBSD VuXML]. + +Ошибки, затрагивающие базовую систему, но не классифицированные как уязвимости безопасности, рассматриваются отдельно на странице link:../notices[Уведомления об исправлениях FreeBSD]. + +// +// The FreeBSD Russian Documentation Project +// +// Original EN revision (06.12.2023): 58fb46dd8fde39eb1aeaa55b50227ff04530c804 +// diff --git a/website/content/ru/security/notices.adoc b/website/content/ru/security/notices.adoc --- a/website/content/ru/security/notices.adoc +++ b/website/content/ru/security/notices.adoc @@ -6,4 +6,12 @@ = Уведомления об исправлениях FreeBSD -Данная веб страница содержит список выпущенных уведомлений об исправлениях FreeBSD. +Данная веб-страница содержит список выпущенных уведомлений об исправлениях FreeBSD. + +Уязвимости безопасности, затрагивающие базовую систему, рассматриваются отдельно на странице link:../advisories[Бюллетени безопасности FreeBSD]. + +// +// The FreeBSD Russian Documentation Project +// +// Original EN revision (06.12.2023): 58fb46dd8fde39eb1aeaa55b50227ff04530c804 +//