| Available Languages: | Deutsch | English | Français | 日本語 (Nihongo) | Português | 中文 (简) (Simplified Chinese) | |
Este documento explica como o Fink lida com os incidentes de segurança referentes a pacotes que foram aceitos pelo Fink. ainda que a responsabilidade principal seja do mantenedor do pacote, o Fink reconhece a necessidade de oferecer uma política uniforme de como reagir a incidentes de segurança encontrados em softwares que são oferecidos como pacotes do Fink. Cada mantenedor de pacote é obrigado a cumprir essa política.
Todo pacote do Fink possui um mantenedor. O mantenedor de um pacote específico pode ser determinado pelo comando fink info nomedopacote executado na linha de comando. Ele irá retornar uma listagem com um campo similar a este: Maintainer: Fink Core Group <fink-core@lists.sourceforge.net>. O mantenedor é integralmente responsável por seu(s) pacote(s).
Caso haja incidentes de segurança em uma determinada parte de um software empacotado, você deve notificar o mantenedor do pacote bem como o Grupo Central do Fink. O email do mantenedor pode ser encontrado pelo comando da seção anterior e o email do Grupo Central do Fink é fink-core@lists.sourceforge.net
Incidentes sérios de segurança em software empacotado pelo Fink pode requerer que você pré-notifique o mantenedor daquele pacote. Como é possível que o mantenedor não possa ser encontrado em tempo hábil, pré-notificações devem ser sempre enviadas ao Time de Segurança do Fink. O email de cada membro do time está listado individualmente mais ao fim deste documento. Por favor, observe que, como o histórico da lista fink-core@lists.sourceforge.net está disponível publicamente, pré-notificações privadas nunca devem ser enviadas àquela lista.
Relatórios sobre um incidente de segurança que tenham sido submetidos serão respondidos pelo Grupo Central do Fink. O Fink obriga cada mantenedor a confirmar individualmente o problema relatado. No caso improvável de o mantenedor não estar disponível e não confirmar o relatório dentro de 24 horas, uma observação deve ser enviada ao Grupo Central do Fink informando o time de que o mantenedor pode não estar respondendo.
Caso você haja tentado notificar o mantenedor do pacote em questão mas o sistema de email retornou um erro de entrega para aquele email, você deve notificar o Grupo Central do Fink imediatamente para informar-lhes que o mantenedor não pode ser contactado e que o pacote pode ser atualizado independentemente do mantenedor.
Tempos de resposta e ações tomadas dependem muito da severidade da perda introduzida por uma falha em particular no software que foi empacotado pelo Fink. De qualquer forma, o Grupo Central do Fink tomará ação imediata sempre que houver a percepção de que é necessário proteger a comunidade de usuários do Fink.
Cada pacote deve primar por respeitar os tempos de resposta seguintes. Para alguns tipos de vulnerabilidades, o Grupo Central do Fink pode escolher agir imediatamente. Se este for o caso, um dos membros do Grupo Central notificará o mantenedor do pacote em questão. Além disso, lembre-se de que, ainda que tentemos respeitar estes tempos de resposta, o Fink é um esforço de voluntários, e por conseguinte não podemos garanti-los.
| Vulnerability | Repsonse time |
|---|---|
| root exploit remoto |
mínimo: imediato; máximo: 12 horas. |
| root exploit local |
mínimo: 12 horas; máximo: 36 horas. |
| DOS remoto |
mínimo: 6 horas; máximo: 12 horas. |
| DOS local |
mínimo: 24 horas; máximo: 72 horas. |
| corrupção de dados remotos |
mínimo: 12 horas; máximo: 24 horas. |
| corrupção de dados locais |
mínimo: 24 horas; máximo: 72 horas. |
Um membro do Grupo Central do Fink pode optar por atualizar um pacote sem esperar que o mantenedor aja primeiro. Isto é chamado de atualização forçada. Caso o tempo de resposta máximo exigido por uma vulnerabilidade específica em um pacote do Fink não seja respeitado, isto também resulta em uma atualização forçada daquele pacote.
Como relator de um incidente segurança em um software empacotado pelo Fink, você deve garantir que a vulnerabilidade do software também existe no Mac OS X. É responsabilidade da parte notificadora garantir que uma das seguintes fontes reforce o problema relatado para o software em questão.
As palavras-chaves acima estão de acordo com a lista de palavras-chaves recomendadas pelo CVE.
Atualizações de segurança só podem ser aplicadas uma vez que tenham sido verificadas pelo autor original do software que foi empacotado para o Fink e no qual foi encontrada uma vulnerabilidade de segurança. Antes de uma atualização, uma ou mais das condições a seguir deve valer:
Atualizações de segurança de um pacote específico serão primeiramente aplicadas na árvore unstable. Após um período de espera de pelo menos 12 horas, os arquivos com descrições e ajustes do pacote também serão movidos para a árvore stable. O período de retenção deve ser usado para observar cuidadosamente se o pacote atualizado funciona e a atualização de segurança não introduz novos problemas.
Alguns usuários podem escolher não atualizar seus softwares frequentemente. Para garantir que aqueles que instalam seus pacotes a partir do código fonte atualizem pacotes com vulnerabilidades o mais cedo possível, um mantenedor pode solicitar que uma notificação seja enviada à lista de anúncios do Fink.
Estes anúncios somente podem ser enviados pelo Time de Segurança do Fink. A maior parte dos anúncios será enviada por dmalloc@users.sourceforge.net, assinados pela chave PGP com a seguinte impressão digital:
O endereço acima foi intencionalmente não assinalado como um link.
Outros membros do time com autorização são:
peter@pogma.com assinado pela chave PGP com a seguinte impressão digital:
ranger@befunk.com assinado pela chave PGP com a seguinte impressão digital:
Para garantir uma apresentação comum para as notificações de segurança, todas devem seguir o seguinte modelo padrão.
ID: FINK-YYYY-MMDD-NN
Reported: YYYY-MM-DD
Updated: YYYY-MM-DD
Package: package-name
Affected: <= versionid
Maintainer: maintainer-name
Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
Mac OS X version: 10.3, 10.2
Fix: patch|upstream
Updated by: maintainer|forced update (Email)
Description: A short description describing the issue.
References: KEYWORD (see above)
Ref-URL: URL
Um relatório de exemplo pode-se parecer com:
ID: FINK-2004-06-01
Reported: 2004-06-09
Updated: 2004-06-09
Package: cvs
Affected: <= 1.11.16, <= 1.12.8
Maintainer: Sylvain Cuaz
Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
Mac OS X version: 10.3, 10.2
Fix: upstream
Updated by: forced update (dmalloc@users.sourceforge.net)
Description: Multiple vulnerabilities in CVS found by Ematters
Security.
References: BID
Ref-URL: http://www.securityfocus.com/bid/10499
References: CVE
Ref-URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
References: CVE
Ref-URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
References: CVE
Ref-URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
References: CVE
Ref-URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
References: FULLDISCURL
Ref-URL: http://lists.netsys.com/pipermail/full-disclosure/2004-June/022441.html
References: MISC
Ref-URL: http://security.e-matters.de/advisories/092004.html
Por favor, observe que a palavra-chave Affected se refere a todas as versões do software vulneráveis e não apenas aquela que tenha sido empacotada para o Fink. O relatório de exemplo mostra isto claramente.
Copyright (c) 2001 Christoph Pfisterer, Copyright (c) 2001-2020 The Fink Project. You may distribute this document in print for private purposes, provided the document and this copyright notice remain complete and unmodified. Any commercial reproduction and any online publication requires the explicit consent of the author.
Generated from $Fink: sec-policy.pt.xml,v 1.2 2009/07/26 11:13:27 monipol Exp $