14.14. A FreeBSD biztonsági figyelmeztetései

Írta: Rhodes, Tom.

A FreeBSD több más kereskedelmi minőségű operációs rendszerhez hasonlóan "Biztonsági figyelmeztéseket" (Security Advisory) ad ki. Ezek a figyelmeztetések általában megjelennek a biztonsággal foglalkozó levelezési listákon és a hivatkozott hibák kijavítása után a megfelelő kiadások hibajegyzékében is. Ebben a szakaszban megismerjük és értelmezzük ezeket a figyelmeztetéseket, valamint megtudhatjuk, milyen lépéseket kell megtennünk a rendszerünk kijavításához.

14.14.1. Hogyan épül fel egy figyelmeztetés?

A FreeBSD biztonsági figyelmeztetései az alább látható formában jelennek meg, amit mi most a freebsd-security-notifications levelezési listáról kölcsönöztünk.

=============================================================================
FreeBSD-SA-XX:XX.UTIL                                     Security Advisory
                                                          The FreeBSD Project

Topic:          denial of service due to some problem1

Category:       core2
Module:         sys3
Announced:      2003-09-234
Credits:        Person@EMAIL-ADDRESS5
Affects:        All releases of FreeBSD6
                FreeBSD 4-STABLE prior to the correction date
Corrected:      2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE)
                2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6)
                2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15)
                2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8)
                2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18)
                2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21)
                2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33)
                2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43)
                2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)7
CVE Name:	CVE-XXXX-XXXX8

For general information regarding FreeBSD Security Advisories,
including descriptions of the fields above, security branches, and the
following sections, please visit
http://www.FreeBSD.org/security/.

I.   Background9


II.  Problem Description10


III. Impact11


IV.  Workaround12


V.   Solution13


VI.  Correction details14


VII. References15

1

A Topic mezőben olvashatjuk pontosan mi is maga a probléma. Alapvetően bemutatja az érintett biztonsági figyelmeztetést és megemlíti a sebezhető segédprogramot.

2

A Category mező hivatkozik a rendszer azon részére, amelyre a hiba kihatással lehet. Értéke lehet core, contrib vagy ports. A core kategória azt jelzi, hogy a sebezhetőség a FreeBSD legfontosabb komponenseit érinti. A contrib kategória a FreeBSD projekt számára felajánlott szoftverek, mint például a sendmail sebezhetőségére utal. Végezetül a ports kategória jelzi, hogy a sebezhetőség valamelyik, a Portgyűjteményben szereplő szoftverre érvényes.

3

A Module mező a sebezhető komponens helyét nevezi meg, például sys. Ebben a példában azt láthatjuk, hogy a sys modul a hibás. Ezért a sebezhetőség egy rendszermagban használt komponenst érint.

4

Az Announced mező a biztonsági figyelmeztetés kiadásának vagy széleskörű kihirdetésének dátumát rögzíti. Ez azt jelenti, hogy a biztonsági csapat meggyőződött a probléma létezéséről és a hibát orvosoló javítás már felkerült a FreeBSD forráskódjába.

5

A Credits mező azokat az egyéneket vagy szervezeteket említi meg, akik észlelték a sebezhetőséget és jelentették.

6

Az Affects mezőben megadják, hogy a FreeBSD melyik kiadásaira van hatással a sebezhetőség. Ha a rendszermag esetén lefuttatjuk az ident parancsot az érintett állományokra, akkor megtudhatjuk a pontos revíziójukat. A portoknál a verziószám a port neve után szerepel a /var/db/pkg könyvtárban. Ha a rendszerünket nem frissítettük CVS-ről és fordítottuk újra, akkor nagy a valószínűsége, hogy a sebezhetőség minket is érint.

7

A Corrected mező tartalmazza a a kijavítás dátumát, idejét, időzónáját és az ezt tartalmazó kiadást.

8

Az ismert sebezhetőségek adatbázisában (Common Vulnerabilities Database, CVD) használt azonosítási információk alapján végzett keresések számára fenntartott.

9

A Background mező adja meg részleteiben a sebezhető programmal kapcsolatos tudnivalókat. Az esetek többségében itt írják le, hogy miért jött létre az adott eszköz a FreeBSD-ben, mire használják és hogyan keletkezett.

10

A Problem Description mező a biztonsági rést részletezi. Ebben a részben szerepelhet a hibás kódrészlet vagy akár még az is, hogy miként kell vele előidézni a hibát.

11

Az Impact mező a probléma lehetséges hatásait írja körül a rendszerben. Ez például lehet egy DoS támadás, speciális engedélyek ellopása vagy akár a rendszeradminisztrátori jogok megszerzése.

12

A Workaround mező igyekszik elfogadható megoldást nyújtani a rendszerük frissítésére képtelen rendszergazdák számára. Ennek oka lehet az idő rövidsége, a hálózati elérhetőség vagy más okokból fakadó elcsúszás. Ennek ellenére a biztonsági kérdéseket sosem szabad félvállról venni, ezért a sebezhető rendszereket vagy ki kell javítani vagy valamilyen módon meg kell kerülni a biztonsági rés kialakulását.

13

A Solution mező utasításokkal segít a rendszer kijavítását. Ez egy lépésről lépésre tesztelt és ellenőrzött módszer, amellyel a rendszerünket megfelelően ki tudjuk javítani és biztonságossá tenni.

14

A Correction Details mező mutatja a CVS-ág vagy kiadás nevét, amelyben a pontokat aláhúzásra cserélték. Ezenkívül még az egyes ágakban az érintett állományok revízióját is mutatja.

15

A References mező általában a témával kapcsolatos további forrásokat kínálja fel URL, könyv, levelezési lista vagy hírcsoport formájában.

Ha kérdése van a FreeBSD-vel kapcsolatban, a következő címre írhat (angolul): <questions@FreeBSD.org>.

Ha ezzel a dokumentummal kapcsolatban van kérdése, kérjük erre a címre írjon: <gabor@FreeBSD.org>.