FreeBSD The Power to Serve

FreeBSD biztonsági információk

Bevezetés

Ezt az oldalt azért hoztuk létre, hogy a FreeBSD biztonsági problémáival kapcsolatban segítséget nyújtsunk az új és tapasztalt felhasználóknak egyaránt. A FreeBSD Projekt tagjai nagyon komolyan veszik a biztonsági hibákat és folyamatosan azon dolgoznak, hogy az operációs rendszert a lehetõ legbiztonságosabbá tegyék.

Hogyan és kinek jelentsük a FreeBSD biztonsági hibáit

A FreeBSD biztonsági hibáit közvetlenül a FreeBSD Security Team részére kell küldeni, illetve bizalmas információk esetén a Security Officer PGP-kulcsával írhatunk egy PGP titkosítású levelet a Security Officer Team címére. A jelentéseknek minden esetben tartalmazniuk kell a következõ adatokat:

  • A sebezhetõség leírása.

  • Amennyiben lehetséges, a hiba által érintett összes FreeBSD verzió megjelölése.

  • Bármilyen kézenfekvõ megoldás.

  • Amennyiben lehetséges, példakód a hiba kihasználhatóságának bemutatására.

A megadott információk közlése után a Security Officer vagy a Security Team valamelyik képviselõje visszaigazolást fog küldeni.

A levélszemét szûrése

Mivel a biztonsági problémákkal kapcsolatos levelezési címekre tömegesen érkezik a kéretlen levélszemét, a forgalmukat folyamatosan szûrjük. Amennyiben vélthetõen emiatt nem sikerülne elérnünk a FreeBSD Security vagy a FreeBSD Security Officer csapatok tagjait, küldjünk egy levelet a security-officer-XXX@FreeBSD.org címre, ahol az XXX rész helyére a 3432 szöveget kell beírni. Ez a cím bizonyos idõszakonként változik, ezért a levél elküldése elõtt ezen az oldalon tájékozódni a legfrissebb állapotáról. Az ide elküldött levelek a FreeBSD Security Officer Team tagjaihoz fognak befutni.

A FreeBSD Security Officer Team és a FreeBSD Security Team

Annak érdekében, hogy a beküldött sebezhetõségekre a FreeBSD Projekt idõben érdemben reagálni tudjon, három tag érhetõ el jelenleg a Security Officer címén: maga a Security Officer, a Security Officer helyettese és a Core Team egy tagja. Ennek megfelelõen a <security-officer@FreeBSD.org> címére küldött levelek a következõ személyeknek fognak továbbítódni:

Colin Percival[cperciva@FreeBSD.org]

Security Officer

Simon L. B. Nielsen[simon@FreeBSD.org]

Security Officer-helyettes

Robert Watson[rwatson@FreeBSD.org]

A FreeBSD Core Team kapcsolattartója, a Release Engineering kapcsolattartója, a TrustedBSD Projekt kapcsolattartója, valamint rendszerbiztonsági szakértõ

A Security Officer munkáját a FreeBSD Security Team <secteam@FreeBSD.org> segíti, amely a Security Officer által felügyelt committerek egy kisebb csoportja.

Adatkezelési házirend

Miután a szóbanforgó sebezhetõséget sikerült megfelelõ módon elemezni és javítani, valamint a javítást tesztelni és szükség esetén egyeztetni további partnerekkel, a FreeBSD Security Officer igyekszik a vele kapcsolatos információkat nyilvánosságra hozni.

A Security Officer értesíteni fogja a FreeBSD klaszter rendszergazdáit minden olyan sebezhetõségrõl, amely a FreeBSD Projekt erõforrásait közvetlenül veszélyezteti.

A Security Officer kérheti további FreeBSD fejlesztõk vagy egyéb külsõs fejlesztõk segítségét, amennyiben az adott sebezhetõség pontos feltárásához szükséges a támogatásuk. Ebben az esetben a sebezhetõséggel kapcsolatos minden információ szigorúan bizalmasnak tekintendõ, ezzel igyekszünk elkerülni a hiba idõ elõtti elterjedését. Ezért minden, a témában érintett fejlesztõtõl elvárjuk, hogy a Security Officer házirendjének megfelelõen járjon el. Korábban már többször kértünk fel szakértõket az operációs rendszer különféle bonyolultabb elemeinek, többek közt az FFS, a virtuális memória vagy a hálózati protokollkészlet mûködésével kapcsolatban.

Ha a bejelentés idõpontjában éppen egy FreeBSD kiadás elõkészítése zajlik, akkor a FreeBSD Release Engineer is értesítést kap a sebezhetõség létezésérõl és annak súlyosságáról. A kapott információk birtokában így képes lesz mérlegelni, hogy az adott probléma milyen változtatásokat igényel a kiadási ciklus szervezésében, illetve a következõ kiadást milyen mértékben érinti. Szükség esetén a Security Officer a sebezhetõség jellegét már nem osztja meg a Release Engineer felé, ezzel is igyekszik csökkenteni az információ kiszivárgásának kockázatát.

A FreeBSD Security Officer más szervezetekkel is szoros együttmûködésben dolgozik, többek közt olyan külsõ fejlesztõkkel, amelyekkel a FreeBSD kódjának valamelyik részét közösen használják (az OpenBSD, NetBSD, DragonFlyBSD projektek, az Apple, valamint a FreeBSD alapú rendszereket fejlesztõ cégek és linuxos biztonsági listák), illetve a különbözõ biztonsági sebezhetõségeket és incidenseket nyilvántartó szervezetekkel, mint például a CERT. Gyakran elõfordul, hogy a sebezhetõségek nem kizárólag csak a FreeBSD implementációját érintik és (viszont már nem olyan gyakran) további kihatással vannak az egész világ hálózati forgalmára. Ilyen esetekben a Security Officer igyekszik megosztani a tudomására jutott adatokat az érintett szervezetekkel. Amennyiben ehhez nem járulunk hozzá, jelezzük már a jelentés beküldése során.

Amennyiben a bejelentõnek bármilyen konkrét adatkezelési megkötése van, kérjük, mindenképpen pontosan tájékoztassa róla a Security Officert.

Amennyiben a bejelentõ szeretne együttmûködni a sebezhetõség nyilvánosságra hozásában, esetleg más egyéb gyártókkal együtt, kérjük ilyen jellegû szándékát nyíltan elõre jelezni. Ennek hiányában a kérdéses sebezhetõség nyilvánosságra hozásával kapcsolatban a FreeBSD Security Officer olyan ütemezést fog választani, amely lehetõvé teszi az idõben történõ értesítést és a javítások megfelelõ tesztelését. A bejelentõnek ezenkívül még tisztában kell lennie azzal is, hogy ha az adott sebezhetõség már kikerül valamilyen publikus helyre (mint például hibakövetõ rendszerekbe) és történnek vele kapcsolatban visszaélések, akkor a Security Officernek a felhasználói közösségék maximális védelme érdekében jogában áll eltérni az elõre egyeztetett menetrendektõl.

A bejelentések PGP titkosítással védhetõek. Amennyiben szükséges, a válaszokat is PGP titkosítással küldjük.

Támogatott FreeBSD kiadások

A FreeBSD Security Officer egyszerre a FreeBSD több fejlesztési vonalához is bocsát ki biztonsági figyelmeztetéseket. Vannak -STABLE ágak és külön biztonsági javításokat tartalmazó ágak. (Biztonsági figyelmeztetések nem készülnek a -CURRENT ághoz.)

  • A -STABLE ágakat például RELENG_7 címkével nevezik el. Az ennek megfelelõ változat neve pedig a FreeBSD 7.0-STABLE.

  • Minden FreeBSD kiadáshoz tartozik egy kizárólag biztonsági javítások tartalmazó ág. A hozzájuk tartozó ágakat például a RELENG_7_0 címkével azonosítják. A neki megfelelõ változat pedig a FreeBSD 7.0-RELEASE-p1.

A FreeBSD Portgyûjteményt érintõ hibákat a FreeBSD VuXML dokumentumban találhatjuk.

A Security Officer az egyes ágakhoz csak korlátozott ideig nyújt támogatást, ezek típusa lehet kipróbálásra, egyszerû vagy bõvített. Az egyes típusú ágak élettartamára vonatkozó útmutatások a következõek:

Kipróbálásra

A -CURRENT ágból készült kiadásokat a Security Officer legalább 6 hónapig támogatja.

Egyszerû

A -STABLE ágból készült kiadásokat a Security Officer legalább 12 hónapig támogatja, illetve ezen túl még (szükség esetén) addig, amíg a soronkövetkezõ egyszerû támogatású kiadások közül a legfrissebb 3 hónapos el nem múlik.

Bõvített

Különbözõ válogatott kiadások (általában minden második kiadás, illetve az egyes -STABLE ágak legutolsó kiadása), amelyeket a Security Officer legalább 24 hónapig támogat, illetve ezen túl még (szükség esetén) addig, amíg a soronkövetkezõ bõvített támogatású kiadások közül a legfrissebb 3 hónapos el nem múlik.

A jelenleg támogatott ágak pillanatnyi besorolását és támogatásuk becsült idejét az alábbi táblázatban foglaltuk össze. Itt a Támogatás várható vége címû oszlopban tüntettük fel az adott ágak beszüntetésének valószínûsíthetõ idõpontját. Ezek a dátumok a jövõben azonban változhatnak, habár bizonyos enyhítõ körülmények mentén elõfordulhat, hogy egy adott ág támogatása a kiírtnál hamarabb befejezõdik.

Ág Kiadás Típus Megjelenés ideje Támogatás várható vége

RELENG_6

-

-

-

2010. november 30.

RELENG_6_4

6.4-RELEASE

bõvített

2008. november 28.

2010. november 30.

RELENG_7

-

-

-

utolsó kiadás + 2 év

RELENG_7_1

7.1-RELEASE

bõvített

2009. január 4.

2011. január 31.

RELENG_7_3

7.3-RELEASE

bõvített

2010. március 23.

2012. március 31.

RELENG_8

-

-

-

utolsó kiadás + 2 év

RELENG_8_0

8.0-RELEASE

egyszerû

2009. november 25.

2010. november 30.

RELENG_8_1

8.1-RELEASE

bõvített

2010. július 23.

2012. július 31.

A felsorolásban nem szereplõ, régebbi kiadásokat már nem tartjuk karban. Ezért kérünk mindenkit, hogy lehetõleg frissítsen valamelyik támogatott változatra.

A biztonsági figyelmeztetéseket az alábbi FreeBSD levelezési listákra szokták küldeni:

Az eddig kiadott figyelmeztetések megtalálhatóak a FreeBSD bizonsági figyelmeztetések oldalán.

A figyelmeztetéseket mindig a FreeBSD Security Officer PGP-kulcsával írják alá, majd http://security.FreeBSD.org/ honlapon a hozzá tartozó javításokkal együtt feltöltik az advisories (“figyelmeztetések”) és patches (“javítások”) könyvtárakba.