Ezt az oldalt azért hoztuk létre, hogy a &os; biztonsági problémáival kapcsolatban segítséget nyújtsunk az új és tapasztalt felhasználóknak egyaránt. A &os; Projekt tagjai nagyon komolyan veszik a biztonsági hibákat és folyamatosan azon dolgoznak, hogy az operációs rendszert a lehetõ legbiztonságosabbá tegyék.
A &os; biztonsági hibáit közvetlenül a &os; Security Team részére kell küldeni, illetve bizalmas információk esetén a Security Officer PGP-kulcsával írhatunk egy PGP titkosítású levelet a Security Officer Team címére. A jelentéseknek minden esetben tartalmazniuk kell a következõ adatokat:
A megadott információk közlése után a Security Officer vagy a Security Team valamelyik képviselõje visszaigazolást fog küldeni.
Mivel a biztonsági problémákkal kapcsolatos levelezési címekre tömegesen érkezik a kéretlen levélszemét, a forgalmukat folyamatosan szûrjük. Amennyiben vélthetõen emiatt nem sikerülne elérnünk a &os; Security vagy a &os; Security Officer csapatok tagjait, küldjünk egy levelet a security-officer-XXX@FreeBSD.org címre, ahol az XXX rész helyére a 3432 szöveget kell beírni. Ez a cím bizonyos idõszakonként változik, ezért a levél elküldése elõtt ezen az oldalon tájékozódni a legfrissebb állapotáról. Az ide elküldött levelek a &os; Security Officer Team tagjaihoz fognak befutni.
Annak érdekében, hogy a beküldött sebezhetõségekre a &os; Projekt idõben érdemben reagálni tudjon, három tag érhetõ el jelenleg a Security Officer címén: maga a Security Officer, a Security Officer helyettese és a Core Team egy tagja. Ennek megfelelõen a <security-officer@FreeBSD.org> címére küldött levelek a következõ személyeknek fognak továbbítódni:
| &a.cperciva; <cperciva@FreeBSD.org> | Security Officer |
| &a.simon; <simon@FreeBSD.org> | Security Officer-helyettes |
| &a.rwatson; <rwatson@FreeBSD.org> | A &os; Core Team kapcsolattartója, a Release
Engineering kapcsolattartója, a TrustedBSD Projekt
kapcsolattartója, valamint rendszerbiztonsági
szakértõ |
A Security Officer munkáját a &os; Security Team <secteam@FreeBSD.org> segíti, amely a Security Officer által felügyelt committerek egy kisebb csoportja.
Miután a szóbanforgó sebezhetõséget sikerült megfelelõ módon elemezni és javítani, valamint a javítást tesztelni és szükség esetén egyeztetni további partnerekkel, a &os; Security Officer igyekszik a vele kapcsolatos információkat nyilvánosságra hozni.
A Security Officer értesíteni fogja a &os; klaszter rendszergazdáit minden olyan sebezhetõségrõl, amely a &os; Projekt erõforrásait közvetlenül veszélyezteti.
A Security Officer kérheti további &os; fejlesztõk vagy egyéb külsõs fejlesztõk segítségét, amennyiben az adott sebezhetõség pontos feltárásához szükséges a támogatásuk. Ebben az esetben a sebezhetõséggel kapcsolatos minden információ szigorúan bizalmasnak tekintendõ, ezzel igyekszünk elkerülni a hiba idõ elõtti elterjedését. Ezért minden, a témában érintett fejlesztõtõl elvárjuk, hogy a Security Officer házirendjének megfelelõen járjon el. Korábban már többször kértünk fel szakértõket az operációs rendszer különféle bonyolultabb elemeinek, többek közt az FFS, a virtuális memória vagy a hálózati protokollkészlet mûködésével kapcsolatban.
Ha a bejelentés idõpontjában éppen egy &os; kiadás elõkészítése zajlik, akkor a &os; Release Engineer is értesítést kap a sebezhetõség létezésérõl és annak súlyosságáról. A kapott információk birtokában így képes lesz mérlegelni, hogy az adott probléma milyen változtatásokat igényel a kiadási ciklus szervezésében, illetve a következõ kiadást milyen mértékben érinti. Szükség esetén a Security Officer a sebezhetõség jellegét már nem osztja meg a Release Engineer felé, ezzel is igyekszik csökkenteni az információ kiszivárgásának kockázatát.
A &os; Security Officer más szervezetekkel is szoros együttmûködésben dolgozik, többek közt olyan külsõ fejlesztõkkel, amelyekkel a &os; kódjának valamelyik részét közösen használják (az OpenBSD, NetBSD, DragonFlyBSD projektek, az Apple, valamint a &os; alapú rendszereket fejlesztõ cégek és linuxos biztonsági listák), illetve a különbözõ biztonsági sebezhetõségeket és incidenseket nyilvántartó szervezetekkel, mint például a CERT. Gyakran elõfordul, hogy a sebezhetõségek nem kizárólag csak a &os; implementációját érintik és (viszont már nem olyan gyakran) további kihatással vannak az egész világ hálózati forgalmára. Ilyen esetekben a Security Officer igyekszik megosztani a tudomására jutott adatokat az érintett szervezetekkel. Amennyiben ehhez nem járulunk hozzá, jelezzük már a jelentés beküldése során.
Amennyiben a bejelentõnek bármilyen konkrét adatkezelési megkötése van, kérjük, mindenképpen pontosan tájékoztassa róla a Security Officert.
Amennyiben a bejelentõ szeretne együttmûködni a sebezhetõség nyilvánosságra hozásában, esetleg más egyéb gyártókkal együtt, kérjük ilyen jellegû szándékát nyíltan elõre jelezni. Ennek hiányában a kérdéses sebezhetõség nyilvánosságra hozásával kapcsolatban a &os; Security Officer olyan ütemezést fog választani, amely lehetõvé teszi az idõben történõ értesítést és a javítások megfelelõ tesztelését. A bejelentõnek ezenkívül még tisztában kell lennie azzal is, hogy ha az adott sebezhetõség már kikerül valamilyen publikus helyre (mint például hibakövetõ rendszerekbe) és történnek vele kapcsolatban visszaélések, akkor a Security Officernek a felhasználói közösségék maximális védelme érdekében jogában áll eltérni az elõre egyeztetett menetrendektõl.
-A bejelentéseket PGP titkosítással +
A bejelentések PGP titkosítással védhetõek. Amennyiben szükséges, a válaszokat is PGP titkosítással küldjük.
A &os; Security Officer egyszerre a &os; több fejlesztési vonalához is bocsát ki biztonsági figyelmeztetéseket. Vannak -STABLE ágak és külön biztonsági javításokat tartalmazó ágak. (Biztonsági figyelmeztetések nem készülnek a -CURRENT ághoz.)
A -STABLE ágakat például RELENG_7 címkével nevezik el. Az ennek megfelelõ változat neve pedig a &os; 7.0-STABLE.
Minden &os; kiadáshoz tartozik egy kizárólag biztonsági javítások tartalmazó ág. A hozzájuk tartozó ágakat például a RELENG_7_0 címkével azonosítják. A neki megfelelõ változat pedig a &os; 7.0-RELEASE-p1.
A &os; Portgyûjteményt érintõ hibákat a &os; VuXML dokumentumban találhatjuk.
A Security Officer az egyes ágakhoz csak korlátozott ideig nyújt támogatást, ezek típusa lehet `kipróbálásra`, `egyszerû` vagy `bõvített`. Az egyes típusú ágak élettartamára vonatkozó útmutatások a következõek:
A jelenleg támogatott ágak pillanatnyi besorolását és támogatásuk becsült idejét az alábbi táblázatban foglaltuk össze. Itt a Támogatás várható vége címû oszlopban tüntettük fel az adott ágak beszüntetésének valószínûsíthetõ idõpontját. Ezek a dátumok a jövõben azonban változhatnak, habár bizonyos enyhítõ körülmények mentén elõfordulhat, hogy egy adott ág támogatása a kiírtnál hamarabb befejezõdik.
| Ág | Kiadás | Típus | Megjelenés ideje | Támogatás várható vége |
|---|---|---|---|---|
| RELENG_6 | - | - | - | 2010. november 30. |
| RELENG_6_3 | 6.3-RELEASE | bõvített | 2008. január 18. | 2010. január 31. |
| RELENG_6_4 | 6.4-RELEASE | bõvített | 2008. november 28. | 2010. november 30. |
| RELENG_7 | - | - | - | utolsó kiadás + 2 év |
| RELENG_7_0 | 7.0-RELEASE | egyszerû | 2008. február 27. | 2009. április 30. |
| RELENG_7_1 | 7.1-RELEASE | bõvített | 2009. január 4. | 2011. január 31. |
A felsorolásban nem szereplõ, régebbi kiadásokat már nem tartjuk karban. Ezért kérünk mindenkit, hogy lehetõleg frissítsen valamelyik támogatott változatra.
A biztonsági figyelmeztetéseket az alábbi &os; levelezési listákra szokták küldeni:
Az eddig kiadott figyelmeztetések megtalálhatóak a &os; bizonsági figyelmeztetések oldalán.
A figyelmeztetéseket mindig a &os; Security Officer PGP-kulcsával
írják alá, majd http://security.FreeBSD.org/
honlapon a hozzátartozó javításokkal
együtt feltöltik az advisories
(figyelmeztetések
) és patches
(javítások
) könyvtárakba.