Bemærk: Originalen er nyere end denne oversættelse.
Debian og CVE-kompatibilitet
Debian-udviklerne har forståelse for behovet for, at stille præcise og ajourførte oplysninger om Debian-distributionens sikkerhedsstatus til rådighed, der giver brugere mulighed for at håndtere risiko forbundet med nye sikkerhedssårbarheder. Projektet Common Vulnerabilities and Exposures (CVE) gør det muligt for os at levere standardiserede sikkerhedsreferencer, så brugerne kan udvikle en sikkerhedshåndteringsproces med CVE-understøttelse. CVE leverer en liste over standardiserede navne på sårbarheder og sikkerhedsbrister.
Debian-projektet mener, at det er særdeles vigtigt at brugerne har adgang til yderligere oplysninger i forbindelse til sikkerhedsproblemer der påvirker Debians distribution. Anvendelse af CVS-navne i bulletiner, hjælper brugerne med at forbinde generiske sårbarheder med specifikke opdateringer fra Debian, hvilket formindsker den tid der bruges på at håndtere sårbarheder, som påvirker vore brugere.
Tilgængeligheden af fælles sikkerhedsreferencer letter også håndteringen af sikkerhed i et miljø hvor sikkerhedsværktøjer som understøtter CVE, såsom systemer til opdagelse af netværks- eller værtsindtrængen, eller hvor sårbarhedsvurderingsværktøjer allerede er installeret, uanset om de er baseret på Debians distribution eller ej.
Debian har tilføjet CVE-navne til alle sikkerhedsbulletiner (DSA'er), der er frigivet siden september 1998, via et arbejde der blev påbegyndt i august 2002. Alle bulletinerne kan hentes fra Debians websted, og annonceringer med forbindelse til nye sårbarheder indeholder CVE-navne, hvis disse er tilgængelige på det tidspunkt hvor bulletinerne udsendes.
Debians Security Tracker er det kanoniske sted hvor CVE-navne, svarende til Debian-pakker, Debians sikkerhedsbulletiner og fejlnumre. Man kan søge på pakkenavne eller DSA-/CVE-navn, og oplysningerne går tilbage til Debian woody.
Almindelige spørgsmål om CVE-status
- Hvad er Debians aktuelle status i CVE-processen
- Hvorfor kan jeg ikke finde et givent CVE-navn?
- Hvor kan jeg få flere oplysninger?
Sp: Hvad er Debians aktuelle status i CVE-processen
Debians sikkerhedsbulletiner blev erklæret CVE-kompatibel den 24. februar 2004. Flere oplysninger er tilgængelige på CVEs websted, blandt andre håndteringspørgeskemaet.
Sp: Hvorfor kan jeg ikke finde et givent CVE-navn?
Debians Security Tracker skulle indeholde alle CVE-navne. Hvad angår de andre lister, kan du måske ikke finde et givent CVE-navn i offentliggjorte bulletiner, enten fordi:
- ingen Debian-produkter er påvirket af den sårbarhed,
- der endnu ikke er en bulletin som dækker den sårbarhed eller
- bulletinen blev udgivet før der blev tildelt et CVE-navn til den pågældende sårbarhed.
Sp: Hvor kan jeg få flere oplysninger?
Besøg CVEs websted for at få flere oplysninger.