Header And Logo

• Kezdőlap

• Bemutatkozunk
  • Bemutatkozunk
  • Adottságok
  • Képviselet
  • Marketing

• Letöltés
  • Kiadási információk
  • A kiadások ütemezése

• Dokumentáció
  • GYIK
  • Kézikönyv
  • Porterek kézikönyve
  • Fejlesztők kézikönyve
  • Man oldalak

• Közösség
  • Levelezési listák
  • Fórumok
  • Felhasználói csoportok
  • Rendezvények

• Fejlesztők
  • Projektötletek
  • SVN repository
  • CVS repository
  • Perforce repository

• Támogatás
  • Terjesztők
  • Biztonsági tudnivalók
  • Hibajelentések
  • Hibajelentések küldése

• Alapítvány
  • Felajánlás

FreeBSD biztonsági információk

Bevezetés

Ezt az oldalt azért hoztuk létre, hogy a FreeBSD biztonsági problémáival kapcsolatban segítséget nyújtsunk az új és tapasztalt felhasználóknak egyaránt. A FreeBSD Projekt tagjai nagyon komolyan veszik a biztonsági hibákat és folyamatosan azon dolgoznak, hogy az operációs rendszert a lehető legbiztonságosabbá tegyék.

Tartalomjegyzék

• Hogyan és kinek jelentsük a FreeBSD biztonsági hibáit
• Röviden a FreeBSD Security Officer feladatáról
• Adatkezelési házirend
• Támogatott FreeBSD kiadások

Egyéb biztonsággal kapcsolatos linkek

• A Security Officer és csapatának szabadalomlevele
• A FreeBSD biztonsági figyelmeztetéseinek listája
• A FreeBSD biztonsági figyelmeztetései

Hogyan és kinek jelentsük a FreeBSD biztonsági hibáit

A FreeBSD biztonsági hibáit közvetlenül a FreeBSD Security Team részére kell küldeni, illetve bizalmas információk esetén a Security Officer PGP-kulcsával írhatunk egy PGP titkosítású levelet a Security Officer Team címére. A jelentéseknek minden esetben tartalmazniuk kell a következő adatokat:

• A sebezhetőség leírása.
• Amennyiben lehetséges, a hiba által érintett összes FreeBSD verzió megjelölése.
• Bármilyen kézenfekvő megoldás.
• Amennyiben lehetséges, példakód a hiba kihasználhatóságának bemutatására.

A megadott információk közlése után a Security Officer vagy a Security Team valamelyik képviselője visszaigazolást fog küldeni.

A levélszemét szűrése

Mivel a biztonsági problémákkal kapcsolatos levelezési címekre tömegesen érkezik a kéretlen levélszemét, a forgalmukat folyamatosan szűrjük. Amennyiben vélthetően emiatt nem sikerülne elérnünk a FreeBSD Security vagy a FreeBSD Security Officer csapatok tagjait, küldjünk egy levelet a security-officer-XXX@FreeBSD.org címre, ahol az XXX rész helyére a 3432 szöveget kell beírni. Ez a cím bizonyos időszakonként változik, ezért a levél elküldése előtt ezen az oldalon tájékozódni a legfrissebb állapotáról. Az ide elküldött levelek a FreeBSD Security Officer Team tagjaihoz fognak befutni.

A FreeBSD Security Officer Team és a FreeBSD Security Team

Annak érdekében, hogy a beküldött sebezhetőségekre a FreeBSD Projekt időben érdemben reagálni tudjon, három tag érhető el jelenleg a Security Officer címén: maga a Security Officer, a Security Officer helyettese és a Core Team egy tagja. Ennek megfelelően a <security-officer@FreeBSD.org> címére küldött levelek a következő személyeknek fognak továbbítódni:

Colin Percival <cperciva@FreeBSD.org>	Security Officer
Simon L. B. Nielsen <simon@FreeBSD.org>	Security Officer-helyettes
Robert Watson <rwatson@FreeBSD.org>	A FreeBSD Core Team kapcsolattartója, a Release Engineering kapcsolattartója, a TrustedBSD Projekt kapcsolattartója, valamint rendszerbiztonsági szakértő

A Security Officer munkáját a FreeBSD Security Team <secteam@FreeBSD.org> segíti, amely a Security Officer által felügyelt committerek egy kisebb csoportja.

Adatkezelési házirend

Miután a szóbanforgó sebezhetőséget sikerült megfelelő módon elemezni és javítani, valamint a javítást tesztelni és szükség esetén egyeztetni további partnerekkel, a FreeBSD Security Officer igyekszik a vele kapcsolatos információkat nyilvánosságra hozni.

A Security Officer értesíteni fogja a FreeBSD klaszter rendszergazdáit minden olyan sebezhetőségről, amely a FreeBSD Projekt erőforrásait közvetlenül veszélyezteti.

A Security Officer kérheti további FreeBSD fejlesztők vagy egyéb külsős fejlesztők segítségét, amennyiben az adott sebezhetőség pontos feltárásához szükséges a támogatásuk. Ebben az esetben a sebezhetőséggel kapcsolatos minden információ szigorúan bizalmasnak tekintendő, ezzel igyekszünk elkerülni a hiba idő előtti elterjedését. Ezért minden, a témában érintett fejlesztőtől elvárjuk, hogy a Security Officer házirendjének megfelelően járjon el. Korábban már többször kértünk fel szakértőket az operációs rendszer különféle bonyolultabb elemeinek, többek közt az FFS, a virtuális memória vagy a hálózati protokollkészlet működésével kapcsolatban.

Ha a bejelentés időpontjában éppen egy FreeBSD kiadás előkészítése zajlik, akkor a FreeBSD Release Engineer is értesítést kap a sebezhetőség létezéséről és annak súlyosságáról. A kapott információk birtokában így képes lesz mérlegelni, hogy az adott probléma milyen változtatásokat igényel a kiadási ciklus szervezésében, illetve a következő kiadást milyen mértékben érinti. Szükség esetén a Security Officer a sebezhetőség jellegét már nem osztja meg a Release Engineer felé, ezzel is igyekszik csökkenteni az információ kiszivárgásának kockázatát.

A FreeBSD Security Officer más szervezetekkel is szoros együttműködésben dolgozik, többek közt olyan külső fejlesztőkkel, amelyekkel a FreeBSD kódjának valamelyik részét közösen használják (az OpenBSD, NetBSD, DragonFlyBSD projektek, az Apple, valamint a FreeBSD alapú rendszereket fejlesztő cégek és linuxos biztonsági listák), illetve a különböző biztonsági sebezhetőségeket és incidenseket nyilvántartó szervezetekkel, mint például a CERT. Gyakran előfordul, hogy a sebezhetőségek nem kizárólag csak a FreeBSD implementációját érintik és (viszont már nem olyan gyakran) további kihatással vannak az egész világ hálózati forgalmára. Ilyen esetekben a Security Officer igyekszik megosztani a tudomására jutott adatokat az érintett szervezetekkel. Amennyiben ehhez nem járulunk hozzá, jelezzük már a jelentés beküldése során.

Amennyiben a bejelentőnek bármilyen konkrét adatkezelési megkötése van, kérjük, mindenképpen pontosan tájékoztassa róla a Security Officert.

Amennyiben a bejelentő szeretne együttműködni a sebezhetőség nyilvánosságra hozásában, esetleg más egyéb gyártókkal együtt, kérjük ilyen jellegű szándékát nyíltan előre jelezni. Ennek hiányában a kérdéses sebezhetőség nyilvánosságra hozásával kapcsolatban a FreeBSD Security Officer olyan ütemezést fog választani, amely lehetővé teszi az időben történő értesítést és a javítások megfelelő tesztelését. A bejelentőnek ezenkívül még tisztában kell lennie azzal is, hogy ha az adott sebezhetőség már kikerül valamilyen publikus helyre (mint például hibakövető rendszerekbe) és történnek vele kapcsolatban visszaélések, akkor a Security Officernek a felhasználói közösségék maximális védelme érdekében jogában áll eltérni az előre egyeztetett menetrendektől.

A bejelentések PGP titkosítással védhetőek. Amennyiben szükséges, a válaszokat is PGP titkosítással küldjük.

Támogatott FreeBSD kiadások

A FreeBSD Security Officer egyszerre a FreeBSD több fejlesztési vonalához is bocsát ki biztonsági figyelmeztetéseket. Vannak -STABLE ágak és külön biztonsági javításokat tartalmazó ágak. (Biztonsági figyelmeztetések nem készülnek a -CURRENT ághoz.)

• A -STABLE ágakat például RELENG_7 címkével nevezik el. Az ennek megfelelő változat neve pedig a FreeBSD 7.0-STABLE.

• Minden FreeBSD kiadáshoz tartozik egy kizárólag biztonsági javítások tartalmazó ág. A hozzájuk tartozó ágakat például a RELENG_7_0 címkével azonosítják. A neki megfelelő változat pedig a FreeBSD 7.0-RELEASE-p1.

A FreeBSD Portgyűjteményt érintő hibákat a FreeBSD VuXML dokumentumban találhatjuk.

A Security Officer az egyes ágakhoz csak korlátozott ideig nyújt támogatást, ezek típusa lehet `kipróbálásra`, `egyszerű` vagy `bővített`. Az egyes típusú ágak élettartamára vonatkozó útmutatások a következőek:

Kipróbálásra

A -CURRENT ágból készült kiadásokat a Security Officer legalább 6 hónapig támogatja.

Egyszerű

A -STABLE ágból készült kiadásokat a Security Officer legalább 12 hónapig támogatja, illetve ezen túl még (szükség esetén) addig, amíg a soronkövetkező egyszerű támogatású kiadások közül a legfrissebb 3 hónapos el nem múlik.

Bővített

Különböző válogatott kiadások (általában minden második kiadás, illetve az egyes -STABLE ágak legutolsó kiadása), amelyeket a Security Officer legalább 24 hónapig támogat, illetve ezen túl még (szükség esetén) addig, amíg a soronkövetkező bővített támogatású kiadások közül a legfrissebb 3 hónapos el nem múlik.

A jelenleg támogatott ágak pillanatnyi besorolását és támogatásuk becsült idejét az alábbi táblázatban foglaltuk össze. Itt a Támogatás várható vége című oszlopban tüntettük fel az adott ágak beszüntetésének valószínűsíthető időpontját. Ezek a dátumok a jövőben azonban változhatnak, habár bizonyos enyhítő körülmények mentén előfordulhat, hogy egy adott ág támogatása a kiírtnál hamarabb befejeződik.

Ág	Kiadás	Típus	Megjelenés ideje	Támogatás várható vége
RELENG_6	-	-	-	2010. november 30.
RELENG_6_4	6.4-RELEASE	bővített	2008. november 28.	2010. november 30.
RELENG_7	-	-	-	utolsó kiadás + 2 év
RELENG_7_1	7.1-RELEASE	bővített	2009. január 4.	2011. január 31.
RELENG_7_3	7.3-RELEASE	bővített	2010. március 23.	2012. március 31.
RELENG_8	-	-	-	utolsó kiadás + 2 év
RELENG_8_0	8.0-RELEASE	egyszerű	2009. november 25.	2010. november 30.
RELENG_8_1	8.1-RELEASE	bővített	2010. július 23.	2012. július 31.

A felsorolásban nem szereplő, régebbi kiadásokat már nem tartjuk karban. Ezért kérünk mindenkit, hogy lehetőleg frissítsen valamelyik támogatott változatra.

A biztonsági figyelmeztetéseket az alábbi FreeBSD levelezési listákra szokták küldeni:

• FreeBSD-security-notifications@FreeBSD.org
• FreeBSD-security@FreeBSD.org
• FreeBSD-announce@FreeBSD.org

Az eddig kiadott figyelmeztetések megtalálhatóak a FreeBSD bizonsági figyelmeztetések oldalán.

A figyelmeztetéseket mindig a FreeBSD Security Officer PGP-kulcsával írják alá, majd http://security.FreeBSD.org/ honlapon a hozzá tartozó javításokkal együtt feltöltik az advisories (figyelmeztetések) és patches (javítások) könyvtárakba.