O Debian e a compatibilidade com o CVE
Os(As) desenvolvedores(as) Debian entendem a necessidade de fornecer informações
exatas e atualizadas sobre o estado da segurança da distribuição Debian,
permitindo aos usuários gerenciarem o risco associado a novas
vulnerabilidades de segurança. O projeto Vulnerabilidades e Exposições Comuns (CVE, Common Vulnerabilities and
Exposures
) permite-nos fornecer referências de segurança padronizadas
que permitem aos usuários desenvolverem um processo de gerenciamento de
segurança baseado no CVE. O CVE fornece uma lista de nomes padronizados para
vulnerabilidades e exposições de segurança.
O projeto Debian acredita que é extremamente importante dar aos usuários informações adicionais relacionadas a questões de segurança que afetam a distribuição Debian. A inclusão de nomes CVE nos alertas ajuda os usuários a associarem vulnerabilidades genéricas com atualizações específicas do Debian, o que reduz o tempo gasto com o tratamento das vulnerabilidades que afetam nossos usuários.
A disponibilidade de referências de segurança comuns também facilita o gerenciamento da segurança em um ambiente onde as ferramentas de segurança são baseadas no CVE, como sistemas de detecção de intrusão de rede ou host ou ferramentas de avaliação de vulnerabilidades, independente de serem ou não baseadas na distribuição Debian.
O Debian tem adicionado os nomes CVE em todos os alertas de segurança (DSA) lançados desde setembro de 1998 através de um processo de revisão iniciado em agosto de 2002. Todos os alertas podem ser obtidos na site web do Debian, e anúncios relacionados a novas vulnerabilidades incluem os nomes CVE, se esses estiverem disponíveis no momento do lançamento.
O Rastreador de Segurança Debian possui a lista canônica de nomes CVE, correspondente aos pacotes Debian, Alertas de Segurança Debian e números de bug. É possível usá-lo realizando pesquisas pelo nome do pacote ou pelo nome do DSA/CVE e ele contém dados desde o lançamento do Debian Woody.
Questões comuns sobre o estado CVE
- Qual é o estado atual do Debian no processo CVE?
- Porque não encontro um determinado nome CVE?
- Onde eu posso obter maiores informações?
Q: Qual é o estado atual do Debian no processo CVE?
Os Alertas de Segurança do Debian foram declarados compatíveis com o CVE em 24 de fevereiro de 2004. Mais informações estão disponíveis no site do CVE, incluindo o questionário de compatibilidade
Q: Porque não encontro um determinado nome CVE?
O rastreador de segurança deveria ter todos os nomes CVE. Para as outras listas, você pode não encontrar um determinado nome CVS publicado nos alertas devido a um ou mais dos seguintes fatores:
- Nenhum produto Debian foi afetado por esta vulnerabilidade.
- Ainda não há um alerta cobrindo esta vulnerabilidade.
- Um alerta foi publicado antes de um nome CVE ser dado a determinada vulnerabilidade.
Q: Onde eu posso obter maiores informações?
Para maiores informações, por favor, visite o web site do CVE.