Bemerkung: Das Original ist neuer als diese Übersetzung.

CVE kompatibel Debian und CVE-Kompatibilität

Die Debian-Entwickler verstehen den Bedarf nach genauen und aktuellen Informationen über den Sicherheitsstatus der Debian-Distribution, die es den Benutzern erlauben, die Risiken neuer Verwundbarkeiten zu handhaben. Das Common Vulnerabilities and Exposures-Projekt (CVE) ermöglicht es uns, standardisierte Sicherheitsangaben bereitzustellen, die es den Benutzern erlauben, einen CVE-basierten Sicherheitsmanagement-Prozess zu entwickeln. CVE bietet eine Liste standardisierter Namen für Verwundbarkeiten und Sicherheitslücken.

Das Debian-Projekt glaubt, dass es sehr wichtig ist, Anwender mit zusätzlichen Informationen in Bezug auf Sicherheitsprobleme, die die Debian-Distribution betreffen, zu versorgen. Die Einbeziehung von CVE-Namen in Sicherheitsankündigungen hilft Nutzern, allgemeine Verwundbarkeiten spezifischen Debian-Aktualisierungen zuzuordnen.

Die Verfügbarkeit allgemeiner Sicherheitsangaben erleichtert außerdem das Sicherheitsmanagement in Umgebungen, in denen CVE-basierte Sicherheitswerkzeuge wie Netzwerk- oder Host-Intrusion Detection-Systeme oder Verwundbarkeitsbewertungstools schon zum Einsatz kommen, unabhängig davon, ob diese Debian-basiert sind oder nicht.

Das Debian-Projekt hat CVE-Namen zu allen Sicherheitsankündigungen (DSA), die seit September 1998 herausgegeben wurden, hinzugefügt. Dies geschah in einem Überprüfungsprozess, der im August 2002 gestartet wurde. Alle Sicherheitsankündigungen können über die Debian-Webseite erreicht werden und alle Ankündigungen für neue Verwundbarkeiten enthalten CVE-Namen, falls diese zum Zeitpunkt der Veröffentlichung schon verfügbar waren.

Der Debian Sicherheits-Tracker enthält die kanonische Liste von CVE-Namen, korrespondierenden Debian-Paketen, Debian-Sicherheitsankündigungen und Fehlernummern. Sie kann nach Paketnamen oder DSA-/CVE-Namen durchsucht werden und enthält Daten seit der Veröffentlichung von Debian Woody.

Allgemeine Fragen zum CVE-Status

  1. Was ist der aktuelle Status von Debian im CVE-Prozess?
  2. Warum finde ich einen bestimmten CVE-Namen nicht?
  3. Wo kann ich weitere Informationen finden?

F: Was ist der aktuelle Status von Debian im CVE-Prozess?

Die Debian-Sicherheitsankündigungen wurden am 24. Februar 2004 für CVE-kompatibel erklärt. Weitere Informationen finden Sie auf der CVE-Seite, einschließlich des Fähigkeitsfragebogen.

F: Warum finde ich einen bestimmten CVE-Namen nicht?

Der Sicherheits-Tracker sollte alle CVE-Namen enthalten. Für die anderen Listen könnten Sie einen gegebenen CVE-Namen aus den folgenden Gründen nicht in den veröffentlichten Ankündigungen finden:

F: Wo kann ich weitere Informationen finden?

Weitere Informationen finden Sie auf der CVE-Webseite.