14.14. A FreeBSD biztonsági figyelmeztetései

Írta: Tom Rhodes.

A FreeBSD több más kereskedelmi minőségű operációs rendszerhez hasonlóan “Biztonsági figyelmeztéseket” (Security Advisory) ad ki. Ezek a figyelmeztetések általában megjelennek a biztonsággal foglalkozó levelezési listákon és a hivatkozott hibák kijavítása után a megfelelő kiadások hibajegyzékében is. Ebben a szakaszban megismerjük és értelmezzük ezeket a figyelmeztetéseket, valamint megtudhatjuk, milyen lépéseket kell megtennünk a rendszerünk kijavításához.

14.14.1. Hogyan épül fel egy figyelmeztetés?

A FreeBSD biztonsági figyelmeztetései az alább látható formában jelennek meg, amit mi most a freebsd-security-notifications levelezési listáról kölcsönöztünk.

=============================================================================
FreeBSD-SA-XX:XX.UTIL                                     Security Advisory
                                                          The FreeBSD Project

Topic:          denial of service due to some problem(1)

Category:       core(2)
Module:         sys(3)
Announced:      2003-09-23(4)
Credits:        Person@EMAIL-ADDRESS(5)
Affects:        All releases of FreeBSD(6)
                FreeBSD 4-STABLE prior to the correction date
Corrected:      2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE)
                2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6)
                2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15)
                2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8)
                2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18)
                2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21)
                2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33)
                2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43)
                2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)(7)
CVE Name:	CVE-XXXX-XXXX(8)

For general information regarding FreeBSD Security Advisories,
including descriptions of the fields above, security branches, and the
following sections, please visit
http://www.FreeBSD.org/security/.

I.   Background(9)


II.  Problem Description(10)


III. Impact(11)


IV.  Workaround(12)


V.   Solution(13)


VI.  Correction details(14)


VII. References(15)
(1)
A Topic mezőben olvashatjuk pontosan mi is maga a probléma. Alapvetően bemutatja az érintett biztonsági figyelmeztetést és megemlíti a sebezhető segédprogramot.
(2)
A Category mező hivatkozik a rendszer azon részére, amelyre a hiba kihatással lehet. Értéke lehet core, contrib vagy ports. A core kategória azt jelzi, hogy a sebezhetőség a FreeBSD legfontosabb komponenseit érinti. A contrib kategória a FreeBSD projekt számára felajánlott szoftverek, mint például a sendmail sebezhetőségére utal. Végezetül a ports kategória jelzi, hogy a sebezhetőség valamelyik, a Portgyűjteményben szereplő szoftverre érvényes.
(3)
A Module mező a sebezhető komponens helyét nevezi meg, például sys. Ebben a példában azt láthatjuk, hogy a sys modul a hibás. Ezért a sebezhetőség egy rendszermagban használt komponenst érint.
(4)
Az Announced mező a biztonsági figyelmeztetés kiadásának vagy széleskörű kihirdetésének dátumát rögzíti. Ez azt jelenti, hogy a biztonsági csapat meggyőződött a probléma létezéséről és a hibát orvosoló javítás már felkerült a FreeBSD forráskódjába.
(5)
A Credits mező azokat az egyéneket vagy szervezeteket említi meg, akik észlelték a sebezhetőséget és jelentették.
(6)
Az Affects mezőben megadják, hogy a FreeBSD melyik kiadásaira van hatással a sebezhetőség. Ha a rendszermag esetén lefuttatjuk az ident parancsot az érintett állományokra, akkor megtudhatjuk a pontos revíziójukat. A portoknál a verziószám a port neve után szerepel a /var/db/pkg könyvtárban. Ha a rendszerünket nem frissítettük CVS-ről és fordítottuk újra, akkor nagy a valószínűsége, hogy a sebezhetőség minket is érint.
(7)
A Corrected mező tartalmazza a a kijavítás dátumát, idejét, időzónáját és az ezt tartalmazó kiadást.
(8)
Az ismert sebezhetőségek adatbázisában (Common Vulnerabilities Database, CVD) használt azonosítási információk alapján végzett keresések számára fenntartott.
(9)
A Background mező adja meg részleteiben a sebezhető programmal kapcsolatos tudnivalókat. Az esetek többségében itt írják le, hogy miért jött létre az adott eszköz a FreeBSD-ben, mire használják és hogyan keletkezett.
(10)
A Problem Description mező a biztonsági rést részletezi. Ebben a részben szerepelhet a hibás kódrészlet vagy akár még az is, hogy miként kell vele előidézni a hibát.
(11)
Az Impact mező a probléma lehetséges hatásait írja körül a rendszerben. Ez például lehet egy DoS támadás, speciális engedélyek ellopása vagy akár a rendszeradminisztrátori jogok megszerzése.
(12)
A Workaround mező igyekszik elfogadható megoldást nyújtani a rendszerük frissítésére képtelen rendszergazdák számára. Ennek oka lehet az idő rövidsége, a hálózati elérhetőség vagy más okokból fakadó elcsúszás. Ennek ellenére a biztonsági kérdéseket sosem szabad félvállról venni, ezért a sebezhető rendszereket vagy ki kell javítani vagy valamilyen módon meg kell kerülni a biztonsági rés kialakulását.
(13)
A Solution mező utasításokkal segít a rendszer kijavítását. Ez egy lépésről lépésre tesztelt és ellenőrzött módszer, amellyel a rendszerünket megfelelően ki tudjuk javítani és biztonságossá tenni.
(14)
A Correction Details mező mutatja a CVS-ág vagy kiadás nevét, amelyben a pontokat aláhúzásra cserélték. Ezenkívül még az egyes ágakban az érintett állományok revízióját is mutatja.
(15)
A References mező általában a témával kapcsolatos további forrásokat kínálja fel URL, könyv, levelezési lista vagy hírcsoport formájában.

Ha kérdése van a FreeBSD-vel kapcsolatban, a következő címre írhat (angolul): <freebsd-questions@FreeBSD.org>.
Ha ezzel a dokumentummal kapcsolatban van kérdése, kérjük erre a címre írjon: <gabor@FreeBSD.org>.