14.14. Komunikaty bezpieczeństwa FreeBSD

Napisał Tom Rhodes.

Podobnie jak inne systemy operacyjne, również FreeBSD publikuje “Komunikaty bezpieczeństwa”. Komunikaty te z reguły wysłane są na listy dyskusyjne poświęcone bezpieczeństwu oraz dołączane do Erraty po załataniu właściwych wydań. Sekcja ta wyjaśni czym jest taki komunikat, jak go rozumieć i jakie środki należy podjąć by załatać własny system.

14.14.1. Jak wygląda komunikat?

Komunikaty bezpieczeństwa FreeBSD wyglądają podobnie do poniższego, pochodzącego z listy dyskusyjnej freebsd-security-notifications.

=============================================================================
FreeBSD-SA-XX:XX.UTIL                                     Security Advisory
                                                          The FreeBSD Project

Topic:          denial of service due to some problem(1)

Category:       core(2)
Module:         sys(3)
Announced:      2003-09-23(4)
Credits:        Person@EMAIL-ADDRESS(5)
Affects:        All releases of FreeBSD(6)
                FreeBSD 4-STABLE prior to the correction date
Corrected:      2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE)
                2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6)
                2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15)
                2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8)
                2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18)
                2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21)
                2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33)
                2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43)
                2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)(7)
CVE Name: CVE-XXXX-XXXX(8)

For general information regarding FreeBSD Security Advisories,
including descriptions of the fields above, security branches, and the
following sections, please visit
http://www.FreeBSD.org/security/.

I.   Background(9)


II.  Problem Description(10)


III. Impact(11)


IV.  Workaround(12)


V.   Solution(13)


VI.  Correction details(14)


VII. References(15)
(1)
Pole Topic wskazuje czego dokładnie dotyczy problem. Stanowi wprowadzenie do bieżącego komunikatu bezpieczeństwa i wskazuje na narzędzie zawierające daną lukę.
(2)
Pole Category definiuje części systemu, do której odnosi się powiadomienie. Możliwe są następujące kategorie: core, contrib bądź ports. Kategoria core oznacza, że luka dotyczy kluczowego elementu systemu operacyjnego FreeBSD. Kategoria contrib oznacza, że luka dotyczy oprogramowania dostarczanego wraz z FreeBSD, jak np. sendmail. Natomiast kategoria ports oznacza, że luka dotyczy dodatkowego oprogramowania dostępnego jako cześć kolekcji portów.
(3)
Pole Module wskazuje na lokalizację elementu, np. sys, jak w powyższym przykładzie. Zatem luka ta dotyczy komponentu wykorzystywanego w jądrze.
(4)
Pole Announced zawiera datę publikacji komunikatu bezpieczeństwa bądź ogłoszenia informacji w świecie. Oznacza to, że grupa bezpieczeństwa FreeBSD zweryfikowała istnienie problemu oraz, że łata została dodana do repozytorium kodu źródłowego.
(5)
Pole Credits informuje o osobie bądź organizacji, która odkryła daną lukę bezpieczeństwa i poinformowała o tym.
(6)
Pole Affects wyjaśnia, którego z wydań FreeBSD dotyczy dana luka. W przypadku plików jądra, sprawdzenie wyniku polecenia ident na plikach wymienionych w komunikacie pomoże określić numer poprawki. W przypadku portów, numer wersji znajduje się za nazwą portu w /var/db/pkg. Jeśli nie synchronizujemy naszego systemu z repozytorium CVS FreeBSD i nie rekompilujemy go codziennie, są bardzo duże szanse, że luka dotyczy również naszego systemu.
(7)
Pole Corrected oznacza datę, godzinę wraz ze strefą czasową i wydanie, które zostały poprawione.
(8)
Pole zarezerwowane dla informacji identyfikacyjnych wykorzystywanych do wyszukiwania opisów luk w systemie Common Vulnerabilities Database.
(9)
Pole Background przybliża daną aplikację. W większość przypadków są to informacje: dlaczego dane narzędzie jest dostępne we FreeBSD, do czego jest ono wykorzystywane oraz jak ono powstało.
(10)
Pole Problem Description objaśnia szczegółowo daną lukę bezpieczeństwa. Może zawierać informacje o wadliwym kodzie bądź nawet jak dana aplikacja może zostać wykorzystana do stworzenia dziury w systemie zabezpieczeń.
(11)
Pole Impact wyjaśnia jak dany problem może wpłynąć na system. Przykładowo, może to być wszystko od ataku odmowy dostępu DoS po rozszerzenie uprawnień użytkowników bądź nawet umożliwienie atakującemu dostępu do konta administratora.
(12)
Pole Workaround opisuje metodę obejścia problemu dla administratorów, którzy nie mogą zaktualizować systemu. Może to być z powodu ograniczenia czasowego, dostępności sieci, bądź całej masy innych przyczyn. Bez względu na to, do bezpieczeństwa nie można podchodzić lekko. System podatny na daną lukę powinien zostać załatany bądź powinno się zaimplementować obejście problemu.
(13)
Pole Solution przedstawia metodę załatania podatnego systemu. Jest to przetestowana i zweryfikowana instrukcja objaśniająca niezbędne kroki do załatania systemu i przywrócenia bezpieczeństwa pracy.
(14)
Pole Correction Details prezentuje numery poprawek wszystkich zaktualizowanych plików dla każdej gałęzi drzewa CVS.
(15)
Pole References z reguły zawiera źródła dodatkowych informacji. Może zawierać adresy URL witryn WWW, książki, listy i grupy dyskusyjne.

Ten i inne dokumenty można pobrać z ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

W przypadku pytań o FreeBSD prosimy przeczytać dostępną dokumentację przed kontaktem z <questions@FreeBSD.org>.
W sprawie zapytań o tę dokumentację prosimy o kontakt z <doc@FreeBSD.org>.