FreeBSD The Power to Serve

FreeBSD Security Vulnerability Reporting Information

Sicherheitsprobleme melden

Melden Sie Sicherheitsprobleme in FreeBSD direkt an das Security-Team oder, falls eine höhere Vertraulichkeit erforderlich ist, PGP-verschlüsselt an das Security-Officer-Team (verwenden Sie dazu den öffentlichen PGP-Schlüssel des Security Officers).

Sicherheitsprobleme, die die Ports-Sammlung betreffen, sollten hingegen an das FreeBSD Ports Security Team gemeldet werden.

Wenn Sie ein Problem melden, geben Sie bitte mindestens folgende Informationen an:

  • Eine Beschreibung des Sicherheitsproblems.

  • Welche FreeBSD-Versionen betroffen sind.

  • Wie das Problem umgangen werden kann.

  • Wenn möglich, reichen Sie bitte auch eine mögliche Fehlerbehebung ein.

Versuchen Sie dabei soweit als möglich die entsprechenden Vorlagen für Sicherheitshinweise und Problemhinweise zu verwenden, um Ihre Umgebung, die Beschreibung des Problems, dessen Auswirkungen sowie (falls vorhanden) einen Workaround zu dokumentieren.

Der Security-Officer oder ein Mitglied des Security-Officer-Teams wird Sie ansprechen, nachdem Sie ein Problem gemeldet haben.

Spam-Filter

Aufgrund des hohen Spam-Aufkommen durchlaufen alle an die Hauptadresse des Security-Teams gerichteten E-Mails einen Spam-Filter. Können Sie den FreeBSD Security Officer oder das FreeBSD Security Team nicht erreichen, weil Ihre E-Mail vom Spam-Filter verworfen wird (oder falls Sie vermuten, dass dies der Fall ist), so senden Sie Ihre E-Mail bitte an die Adresse security-officer-XXXX@FreeBSD.org, wobei Sie XXXX durch 3432 ersetzen. Beachten Sie, dass diese Adresse regelmäßig geändert wird. Alle E-Mails, die Sie an diese Adresse senden, werden an das FreeBSD Security Officer Team weitergeleitet.

Der FreeBSD Security-Officer und das Security-Officer-Team

Damit Sicherheitsprobleme schnell bearbeitet werden, werden E-Mails an den Security-Officer Alias <security-officer@FreeBSD.org> an folgende Personen weitergeleitet:

Gordon Tetlow <gordon@FreeBSD.org>

Security Officer

Ed Maste <emaste@FreeBSD.org>

Deputy Security Officer

Xin Li <delphij@FreeBSD.org>

Security Officer Emeritus

Dag-Erling Smørgrav <des@FreeBSD.org>

Security Officer Emeritus

Der Security-Officer wird vom FreeBSD Security Team (<secteam@FreeBSD.org>), einer von ihm ausgewählten Gruppe von Committern, unterstützt.

Umgang mit Informationen

Generell veröffentlicht der Security-Officer nach einer angemessenen Zeit alle Informationen über ein Sicherheitsproblem. Diese Zeitspanne erlaubt eine sichere Analyse und die Behebung des Sicherheitsproblems und dient auch zum Testen der Korrektur sowie der Koordination mit anderen Betroffenen.

Der Security-Officer wird einen oder mehrere der Administratoren des FreeBSD-Clusters über Sicherheitsprobleme informieren, die Ressourcen des FreeBSD Projects unmittelbar bedrohen.

Der Security-Officer kann weitere FreeBSD-Entwickler oder externe Entwickler hinzuziehen, wenn dies zur Beurteilung oder Lösung des Sicherheitsproblems notwendig ist. Ein diskretes Vorgehen verhindert die unnötige Verbreitung des Sicherheitsproblems. Alle hinzugezogenen Experten handeln entsprechend den Richtlinien des Security-Officers. In der Vergangenheit wurden Experten wegen ihrer immensen Erfahrungen mit komplexen Komponenten des Systems, wie dem FFS, dem VM-System und dem Netzwerkstack, hinzugezogen.

Wenn gerade ein Release erstellt wird, kann der FreeBSD Release-Engineer ebenfalls über das Sicherheitsproblem und dessen Ausmaße unterrichtet werden. Damit können fundierte Entscheidungen über den Ablauf der Release-Erstellung und die Auswirkungen der Sicherheitsprobleme auf das kommende Release getroffen werden. Auf Anfrage gibt der Security-Officer nur die Existenz des Sicherheitsproblems und dessen Schwere an den Release-Engineer weiter.

Der Security-Officer arbeitet eng mit anderen Organisationen zusammen. Dazu zählen Dritthersteller, die Quellcode von FreeBSD benutzen (OpenBSD, NetBSD, DragonFlyBSD, Apple und andere Hersteller, die Software auf Basis von FreeBSD vertreiben, sowie die Linux-Vendor-Security Liste) und Organisationen, die Sicherheitsproblemen und Sicherheitsvorfällen nachgehen, beispielsweise das CERT. Oft haben Sicherheitsprobleme Auswirkungen, die über FreeBSD hinausgehen. Sie können auch (wenngleich vielleicht weniger häufig) große Teile des Internets betreffen. Unter diesen Umständen wird der Security-Officer andere Organisationen über das Sicherheitsproblem informieren wollen. Wenn Sie das nicht wünschen, vermerken Sie das bitte explizit beim Melden eines Sicherheitsproblems.

Besondere Anforderungen an den Umgang mit den eingereichten Information müssen ausdrücklich angegeben werden.

Wenn die Veröffentlichung des Sicherheitsproblems mit dem Einsender und/oder anderen Lieferanten abgestimmt werden soll, so muss dies ausdrücklich beim Einreichen des Problems angegeben werden. Ist dies nicht vermerkt, legt der Security-Officer einen Zeitplan für die Veröffentlichung des Problems fest. Der Zeitplan berücksichtigt die möglichst schnelle Veröffentlichung und die zum Testen von Lösungen benötigte Zeit. Wenn das Problem schon in öffentlichen Foren (wie Bugtraq) diskutiert wird und ausgenutzt wird, kann der Security-Officer einen anderen als den vorgeschlagenen Zeitplan verwenden. Dies dient dem maximalen Schutz der Benutzergemeinde.

Eingesendete Sicherheitsprobleme können mit PGP geschützt werden. Auf Wunsch werden die Antworten ebenfalls mit PGP geschützt.


Last modified on: 26. Januar 2021 by Sergio Carlavilla Delgado