Záhlaví a logo

• Hlavní stránka

• O systému
  • Úvod
  • Vlastnosti
  • Obhajoba
  • Marketing

• Získání
  • Informace o verzích
  • Plánování verzí

• Dokumentace
  • FAQ
  • Příručka
  • Příručka vývojáře portů
  • Příručka vývojáře
  • Manuálové stránky

• Komunita
  • Poštovní konference
  • Fóra
  • Uživatelské skupiny
  • Události

• Vývojáři
  • Nápady na projekty
  • SVN archiv
  • CVS archiv
  • Perforce archiv

• Podpora
  • Prodejci
  • Bezpečnostní informace
  • Problémy
  • Oznámit problém

• Nadace
  • Dary

Bezpečnostní informace FreeBSD

Úvod

Tato webová stránka je určena pro pomoc začínajícím i zkušeným uživatelům v oblasti bezpečnosti FreeBSD. Vývojářský tým FreeBSD bere bezpečnost velmi vážně a stále se snaží učinit tento operační systém tak bezpečný, jak je to jen možné.

Obsah

• Jak a kam oznámit bezpečnostní problém FreeBSD
• Informace o bezpečnostním vedoucím FreeBSD
• Pravidla zacházení s informacemi
• Podporované verze FreeBSD

Další odkazy, které se týkají bezpečnosti

• Pravidla pro bezpečnostního vedoucího a jeho tým
• Seznam bezpečnostních doporučení FreeBSD
• Čtení o bezpečnostních doporučeních FreeBSD

Jak a kam oznámit bezpečnostní problém FreeBSD

Všechny bezpečnostní problémy FreeBSD by měly být oznámeny bezpečnostnímu týmu FreeBSD, nebo v případě potřeby vyšší úrovně utajení týmu bezpečnostního vedoucího šifrované PGP klíčem bezpečnostního vedoucího. Všechna oznámení by měla obsahovat alespoň:

• Popis bezpečnostního problému.
• Jaké verze FreeBSD se zdají být ovlivněné, je-li to možné.
• Jakékoli pravděpodobné řešení.
• Příklad kódu, je-li to možné.

Po oznámení informací výše vás zpětně zkontaktuje bezpečnostní vedoucí nebo delegát bezpečnostního týmu.

Filtry nevyžádané pošty (spamu)

Z důvodu velkého objemu přicházející nevyžádané pošty (spamu) je hlavní bezpečnostní kontaktní adresa filtrována. Pokud se vám nedaří bezpečnostní vedoucí nebo bezpečnostní tým FreeBSD kontaktovat z důvodu filtrování (nebo předpokládáte, že tomu tak je), místo normální adresy prosím použijte security-officer-XXXX@FreeBSD.org s XXXX nahrazeným na 3432. Tato adresa bude pravidelně měněna, proto zde kontrolujte její aktuální podobu. Pošta na tutu adresu přijde bezpečnostnímu týmu FreeBSD.

Tým bezpečnostního vedoucího a bezpečnostní tým FreeBSD

Aby mohl projekt FreeBSD reagovat na oznámení bezpečnostních chyb včas, poštovní adresa bezpečnostního vedoucího představuje tři členy: bezpečnostního vedoucího, zástupce bezpečnostního vedoucího a jednoho člena centrálního týmu FreeBSD. Zprávy zaslané na adresu security-officer@FreeBSD.org jsou tedy nyní doručovány následujícím lidem:

Bezpečnostní vedoucí je podporován bezpečnostním týmem FreeBSD <secteam@FreeBSD.org>, malou skupinou vývojářů vedených bezpečnostním vedoucím.

Pravidla zacházení s informacemi

Základním pravidlem je, že bezpečnostní vedoucí FreeBSD plně zveřejní informace o bezpečnostní chybě až po určité prodlevě, která slouží pro analýzu a opravu chyby, testování opravy a koordinaci se všemi zúčastněnými stranami.

Bezpečnostní vedoucí upozorní jednoho nebo více ze správců serverů projektu FreeBSD na chyby, které znamenají pro zdroje projektu okamžité ohrožení.

Bezpečnostní vedoucí může k diskuzi o bezpečnostní chybě přizvat další vývojáře FreeBSD, nebo jiné vývojáře, pokud je jejich odborné posouzení potřebné k plnému pochopení či opravě chyby. Bude zachována patřičná mlčenlivost, aby bylo minimalizováno riziko nechtěného rozšíření informace o bezpečnostní chybě, a všichni přizvaní odborníci budou dodržovat pravidla bezpečnostního vedoucího. V minulosti byli experti zváni na základě svých rozsáhlých zkušeností s vysoce komplikovanými součástmi operačního systému, jako je systém souborů, systém virtuální paměti a síťový subsystém.

Pokud je právě připravována nová verze FreeBSD, může být o existenci bezpečnostní chyby a její závažnosti informován rovněž tým plánování verzí, aby mohl učinit správná rozhodnutí o případných změnách v přípravě verze. Je-li to nutné, bezpečnostní vedoucí nesdělí týmu plánování verzí informace o podstatě chyby, pouze o její existenci a závažnosti.

Bezpečnostní vedoucí udržuje blízké pracovní vztahy s mnoha organizacemi, včetně těch, které sdílejí s FreeBSD zdrojové kódy (projekty OpenBSD, NetBSD a DragonFlyBSD, Apple a jiní tvůrci programů založených na FreeBSD a rovněž bezpečnostní konference Linuxu), stejně jako s organizacemi, které sledují bezpečnostní chyby a události, jako je CERT. Často mohou být bezpečnostní chyby širší, než jen omezené na implementaci FreeBSD a někdy (zřejmě méně často) mohou mít rozsáhlé důsledky pro celou síťovou komunitu. Za těchto okolností může bezpečnostní vedoucí podat informace o chybě těmto organizacím. Pokud si nepřejete, aby tak bezpečnostní vedoucí učinil, výslovně to uveďte v oznámení chyby.

Předkladatelé oznámení by měli výslovně popsat jakékoli své zvláštní požadavky pro zacházení s poskytnutými informacemi.

Pokud chce být předkladatel oznámení bezpečnostní chyby součástí koordinovaného procesu odhalování a opravy chyby, měl by to výslovně uvést ve svém oznámení. V případě absence výslovných požadavků stanoví bezpečnostní vedoucí plán zveřejnění chyby, jehož prioritami budou jak včasné zveřejnění, tak i patřičné otestování řešení chyby. Předkladatelé by si měli být vědomi, že pokud bude chyba diskutována ve veřejných fórech (jako je bugtraq) a aktivně zneužívána, bezpečnostní vedoucí se může rozhodnout nedodržet navrhovaný plán zveřejnění chyby, aby zajistil maximální ochranu uživatelské komunity.

Oznámení mohou být chráněna použitím PGP. Pokud je to žádoucí, odpovědi budou rovněž chráněny použitím PGP.

Podporované verze FreeBSD

Bezpečnostní vedoucí FreeBSD poskytuje bezpečnostní doporučení pro několik větví zdrojového stromu FreeBSD. Jedná se o větve -STABLE a bezpečnostní větve. (Pro větev -CURRENT doporučení vydávána nejsou.)

• Označení pro větev -STABLE mají název podobný RELENG_7. Odpovídající verze systému mají názvy podobné FreeBSD 7.0-STABLE.
• Každá verze FreeBSD má odpovídající bezpečnostní větev a označení mají název podobný RELENG_7_0. Odpovídající verze systému mají názvy podobné FreeBSD 7.0-RELEASE-p1.

Problémy postihující kolekci portů FreeBSD jsou popsány v dokumentu FreeBSD VuXML.

Každá větev je bezpečnostním vedoucím podporována omezenou dobu a je označena jako `Přechodná', `Normální' nebo `Rozšířená'. Toto označení slouží jako vodítko pro určení životního cyklu větve a význam jednotlivých typů je následující:

Přechodná

Verze, které jsou vytvořeny z větve -CURRENT, budou bezpečnostním vedoucím podporovány minimálně 6 měsíců od vydání.

Normální

Verze, které jsou vytvořeny z větve -STABLE, budou bezpečnostním vedoucím podporovány minimálně 12 měsíců od vydání, nebo v případě potřeby i déle tak, aby před expirací starší Normální verze již minimálně 3 měsíce existovala novější.

Rozšířená

Vybrané verze (za normálních okolností každá druhá a poslední z každé větve -STABLE) budou bezpečnostním vedoucím podporovány minimálně 24 měsíců od vydání, nebo v případě potřeby i déle tak, aby před expirací starší Rozšířené verze již minimálně 3 měsíce existovala novější.

Aktuální typy a odhadované životní cykly právě podporovaných větví jsou uvedeny níže. Ve sloupci Odhadovaný EoL (konec životního cyklu, End of Life) jsou nejdřívější data, kdy bude pravděpodobně bezpečnostní větev ukončena. Tato data mohou být v budoucnosti posunuta, ale pouze výjimečné okolnosti by mohly vést k tomu, aby byla podpora pro danou větev ukončena dříve, než uvedené datum.

Starší verze nejsou udržovány a jejich uživatelům se doporučuje aktualizace na některou z výše zmíněných verzí.

Doporučení jsou odesílána do následujících poštovních konferencí:

• FreeBSD-security-notifications@FreeBSD.org
• FreeBSD-security@FreeBSD.org
• FreeBSD-announce@FreeBSD.org

Seznam vydaných doporučení se nachází na stránce Bezpečnostní doporučení FreeBSD.

Doporučení jsou vždy podepsána PGP klíčem bezpečnostního vedoucího FreeBSD a jsou archivována spolu s příslušnými opravami na webovém serveru http://security.FreeBSD.org/ v adresářích advisories a patches.