Как многие и высококачественные операционные системы, FreeBSD публикует ''Сообщения
безопасности'' (''Security Advisories''). Эти сообщения обычно отправляются по почте в
списки рассылки, посвященные безопасности и публикуются в списке проблем только после
выхода исправлений к соответствующим релизам. В этом разделе разъясняется, что такое
сообщения безопасности, как их читать и какие меры принимать для исправления системы.
Сообщение безопасности FreeBSD выглядит подобно сообщению ниже, взятому из списка
рассылки freebsd-security-notifications.
=============================================================================
FreeBSD-SA-XX:XX.UTIL Security Advisory
The FreeBSD Project
Topic: denial of service due to some problem
Category: core
Module: sys
Announced: 2003-09-23
Credits: Person@EMAIL-ADDRESS
Affects: All releases of FreeBSD
FreeBSD 4-STABLE prior to the correction date
Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE)
2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6)
2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15)
2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8)
2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18)
2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21)
2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33)
2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43)
2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)
CVE Name: CVE-XXXX-XXXX
For general information regarding FreeBSD Security Advisories,
including descriptions of the fields above, security branches, and the
following sections, please visit
http://www.FreeBSD.org/security/.
I. Background
II. Problem Description
III. Impact
IV. Workaround
V. Solution
VI. Correction details
VII. References
- Поле Topic показывает в чем именно заключается проблема. Это
обычно введение в сообщение безопасности, упоминающее утилиту, в которой возникла
ошибка.
- Поле Category относится к затронутой части системы и может
быть выбрана из core, contrib, или ports. Категория core означает, что
уязвимость затрагивает основной компонент операционной системы FreeBSD. Категория contrib означает, что уязвимость затрагивает программы,
предоставленные проекту FreeBSD, например sendmail. Наконец,
категория ports означает, что уязвимость затрагивает программное
обеспечение, доступное из Коллекции Портов.
- Поле Module указывает на местоположение компонента, например
sys. В этом примере мы видим, что затронут модуль sys, следовательно, эта уязвимость относится к компоненту,
используемому в ядре.
- Поле Announced отражает дату публикации сообщения
безопасности, или его анонсирования. Это означает, что команда обеспечения безопасности
убедилась, что проблема существует и что патч помещён в хранилище исходных текстов
FreeBSD.
- Поле Credits упоминает частное лицо или организацию,
обнаружившую уязвимость и сообщившую о ней.
- Поле Affects дает информацию о релизах FreeBSD, к которым
относится данная уязвимость. Для базовой системы, просмотр вывода команды ident для файлов, затронутых уязвимостью, поможет определить
ревизию. Номер версии портов приведен после имени порта в каталоге /var/db/pkg. Если система не синхронизируется с CVS-хранилищем FreeBSD и не пересобирается ежедневно, высок
шанс, что она затронута уязвимостью.
- Поле Corrected показывает дату, время, смещение во времени и
релиз, в котором исправлена ошибка.
- Зарезервировано для идентификации уязвимости в общей базе данных CVD (Common
Vulnerabilities Database).
- Поле Background дает информацию именно о той утилите, для
которой выпущено сообщение. Как правило информация о том, зачем утилита присутствует в
FreeBSD, для чего она используется, и немного информации о том, как появилась эта
утилита.
- Поле Problem Description дает более глубокие разъяснения
возникшей проблемы. Оно может включать информацию об ошибочном коде, или даже о том, как
утилита может быть использована для создания бреши в системе безопасности.
- Поле Impact описывает тип воздействия, который проблема
может оказать на систему. Это может быть все, что угодно, от атаки на отказ в
обслуживании до получения пользователями дополнительных привилегий, или даже получения
атакующим прав суперпользователя.
- Поле Workaround предлагает тем, системным администраторам,
которые не могут обновить систему, обходной путь решения проблемы. Он может пригодиться
при недостатке времени, отсутствии подключения к сети или по массе других причин. В любом
случае, к безопасности нельзя относиться несерьезно, и необходимо либо применить
указанный обходной путь, либо исправить систему.
- Поле Solution предлагает инструкции по исправлению
затронутой системы. Это пошаговое руководство, протестированный метод восстановления
безопасности системы.
- Поле Correction Details показывает ветвь CVS (имя релиза с точками, замененными на символы
подчеркивания). Здесь также показан номер ревизии каждого файла из каждой ветви.
- Поле References обычно упоминает другие источники
информации. Это могут быть Web-страницы, книги, списки рассылки и группы новостей.