Software::Distributionen::Debian
Debian-Sicherheitshinweise sind CVE-kompatibel
Die Debian-Sicherheitshinweise (DSA) sind auf der RSA-Konferenz 2004 in San Francisco am 24. Februar 2004 für
CVE-kompatibel erklärt worden.
Der DSA-Service, bereitgestellt durch das Debian Sicherheits-Team, bietet seit 1997 Informationen über Sicherheitsprobleme, die in Debian behoben wurden. Um mit dem Common Vulnerabilities and Exposures (CVE)-Projekt zu kooperieren, das eine Standardisierung der Namen aller öffentlich bekannten Verwundbarkeiten erreichen will, enthalten alle neuen Sicherheitshinweise seit Juni 2002 die entsprechenden CVE-Namen. Debian hat sich im Mai 2003 offiziell für die CVE-Kompatibilität beworben.
Das Debian-Projekt glaubt, dass es sehr wichtig ist, Anwender mit zusätzlichen Informationen in Bezug auf Sicherheitsprobleme, die die Debian-Distribution betreffen, zu versorgen. Die Einbeziehung von CVE-Namen in Sicherheitshinweise hilft Nutzern, allgemeine Verwundbarkeiten spezifischen Debian-Sicherheitshinweisen und Debian-Aktualisierungen zuzuordnen, was die Zeit reduziert, die dafür aufgewendet werden muss, Verwundbarkeiten zu behandeln.
Die Verfügbarkeit allgemeiner Sicherheitsangaben erleichtert außerdem das Sicherheitsmanagement in Umgebungen, in denen CVE-basierte Sicherheitswerkzeuge wie Netzwerk- oder Host-»Intrusion Detection«-Systeme oder Verwundbarkeits-Bewertungstools schon zum Einsatz kommen, unabhängig davon, ob diese Debian-basiert sind oder nicht.
Das Debian-Projekt hat CVE-Namen zu allen Sicherheitshinweisen, die seit September 1998 herausgegeben wurden, hinzugefügt. Dies geschah in einem Überprüfungsprozess, der im August 2002 gestartet wurde. Alle Sicherheitshinweise können über die Debian-Webseite erreicht werden und alle Hinweise auf neue Verwundbarkeiten enthalten CVE-Namen, wenn diese zum Zeitpunkt der Veröffentlichung schon verfügbar sind. Hinweise, die mit einem bestimmten CVE-Namen in Verbindung stehen, können über die Suchmaschine von Debian gesucht werden. Die aktuellen Sicherheitshinweise finden Sie auch auf den Pro-Linux Security-Seiten einschließlich Archiv bis ins Jahr 2000 zurück.
Außerdem stellt Debian eine komplette Kreuzreferenz-Tabelle bereit, die alle Referenzen einschließt, die für alle Hinweise seit 1997 verfügbar sind. Diese Tabelle soll die Referenzen-Tabelle, die beim CVE verfügbar ist, ergänzen.
