7.2. Alertes de sécurité Debian

Les alertes de sécurité Debian (DSA) sont effectuées à chaque fois qu'une faille affectant un paquet Debian est découverte. Ces alertes, signées par l'un des membres de l'équipe de sécurité, contiennent des renseignements sur les versions touchées ainsi que l'emplacement des mises à jour. Ces informations sont :

numéro de version pour le correctif ;
type de problème ;
s'il est exploitable à distance ou localement ;
description courte du paquet ;
description du problème ;
description du stratagème ;
description du correctif.

Les DSA sont publiées sur htttp://www.debian.org/ et dans les htttp://www.debian.org/security/. Cela ne se produit habituellement pas avant que le site web ne soit reconstruit (toutes les quatre heures), elles peuvent donc ne pas être immédiatement présentes. Le canal préféré est la liste de diffusion debian-security-announce.

Les utilisateurs intéressés peuvent, cependant (et c'est fait sur quelques portails relatifs à Debian) utiliser le flux RDF pour télécharger automatiquement les DSA sur leur bureau. Certaines applications, comme Evolution (un client de messagerie et assistant d'informations personnelles) et Multiticker (une applette GNOME) peuvent être utilisées pour récupérer les alertes automatiquement. Le flux RDF est disponible à htttp://www.debian.org/security/dsa.rdf.

Les DSA publiées sur le site web peuvent être mises à jour après avoir été envoyées sur les listes de diffusion publiques. Une mise à jour courante est d'ajouter des références croisées vers les bases de données des failles de sécurité. Les traductions ^[54] des DSA ne sont pas envoyées aux listes de diffusion de sécurité, mais elles sont directement intégrées au site web.

7.2.1. Références croisées des failles

Debian fournit une http://www.debian.org/security/crossreferences complète comprenant toutes les références disponibles pour toutes les alertes publiées depuis 1998. Cette table est fournie en complément de la http://cve.mitre.org/cve/refs/refmap/source-DEBIAN.html.

Vous remarquerez que cette table fournit des références vers des bases de données de sécurité comme htttp://www.securityfocus.com/bid, les htttp://www.cert.org/advisories/ et la htttp://www.kb.cert.org/vuls ainsi que les noms CVE (voir ci-dessous). Ces références sont fournies pour faciliter l'utilisation, mais seules les références CVE sont périodiquement vérifiées et intégrées.

Les avantages d'ajouter les références croisées vers ces bases de données de failles sont que :

cela permet plus facilement aux utilisateurs de Debian de voir et de suivre quelles alertes générales (publiées) ont déjà été couvertes par Debian ;
les administrateurs système peuvent en apprendre plus sur la faille et ses impacts en suivant les références croisées ;
ces renseignements peuvent être utilisés pour vérifier les sorties de scanneurs de failles qui contiennent des références à CVE pour supprimer des faux positifs (consultez Section 12.1.2.1, « Le scanneur X de vérification des failles indique que le système Debian est vulnérable ! »).

7.2.2. Compatibilité CVE

Les alertes de sécurité Debian ont été http://www.debian.org/security/CVE-certificate.jpg ^[55] le 24 février 2004.

Les développeurs Debian comprennent la nécessité de fournir une information précise et à jour de l'état de sécurité de la distribution Debian, permettant aux utilisateurs de gérer le risque associé aux nouvelles failles de sécurité. CVE nous permet de fournir des références standardisées qui permettent aux utilisateurs de développer un htttp://www.cve.mitre.org/compatible/enterprise.html.

Le projet htttp://cve.mitre.org est maintenu par la société MITRE et fournit une liste des noms standardisés pour les failles et expositions de sécurité.

Debian estime que fournir aux utilisateurs des informations supplémentaires liées aux problèmes de sécurité qui touchent la distribution Debian est extrêmement important. L'inclusion des noms CVE dans les alertes aide les utilisateurs à associer des failles génériques avec les mises à jour spécifiques de Debian, ce qui réduit le temps passé à gérer les failles qui concernent nos utilisateurs. Cela facilite également la gestion du risque dans un environnement où sont déployés des outils de sécurité gérant CVE — comme des systèmes de détection d'intrusion d'hôte ou de réseau ou des outils de vérification de failles — qu'ils soient ou non basés sur la distribution Debian.

Debian fournit maintenant les noms CVE pour toutes les DSA publiées depuis septembre 1998. Toutes les alertes peuvent être récupérées sur le site web Debian et les annonces liées aux nouvelles failles contiennent les noms CVS quand ils sont disponibles lors de leur publication. Les alertes liées à un nom CVE donné peuvent être cherchées directement avec le système de suivi en sécurité Debian (voir ci-après).

Dans certains cas, vous pouvez ne pas trouver un nom CVE donné dans les alertes publiées par exemple parce que :

aucun produit Debian n'est concerné par cette faille ;
il n'y a pas encore eu d'alerte couvrant cette faille (le problème de sécurité peut avoir été signalé comme un htttp://bugs.debian.org/cgi-bin/pkgreport.cgi?tag=security, mais aucune correction n'a encore été testée et envoyée) ;
une alerte a été publiée avant qu'un nom CVE ait été attribué à une faille donnée (chercher une mise à jour sur le site web).

^[54] Des traductions sont disponibles jusqu'en dix langues.

^[55] Le http://cve.mitre.org/compatible/phase2/SPI_Debian.html complet est disponible au CVE.