Bemerkung: Das Original ist neuer als diese Übersetzung.
Debian und CVE-Kompatibilität
Die Debian-Entwickler verstehen den Bedarf nach genauen und aktuellen Informationen über den Sicherheitsstatus der Debian-Distribution, die es den Benutzern erlauben, die Risiken neuer Verwundbarkeiten zu handhaben. Das Common Vulnerabilities and Exposures-Projekt (CVE) ermöglicht es uns, standardisierte Sicherheitsangaben bereitzustellen, die es den Benutzern erlauben, einen CVE-basierten Sicherheitsmanagement-Prozess zu entwickeln. CVE bietet eine Liste standardisierter Namen für Verwundbarkeiten und Sicherheitslücken.
Das Debian-Projekt glaubt, dass es sehr wichtig ist, Anwender mit zusätzlichen Informationen in Bezug auf Sicherheitsprobleme, die die Debian-Distribution betreffen, zu versorgen. Die Einbeziehung von CVE-Namen in Sicherheitsankündigungen hilft Nutzern, allgemeine Verwundbarkeiten spezifischen Debian-Aktualisierungen zuzuordnen.
Die Verfügbarkeit allgemeiner Sicherheitsangaben
erleichtert außerdem das Sicherheitsmanagement in
Umgebungen, in denen CVE-basierte Sicherheitswerkzeuge wie Netzwerk-
oder Host-Intrusion Detection
-Systeme oder
Verwundbarkeitsbewertungstools schon zum Einsatz kommen, unabhängig
davon, ob diese Debian-basiert sind oder nicht.
Das Debian-Projekt hat CVE-Namen zu allen Sicherheitsankündigungen (DSA), die seit September 1998 herausgegeben wurden, hinzugefügt. Dies geschah in einem Überprüfungsprozess, der im August 2002 gestartet wurde. Alle Sicherheitsankündigungen können über die Debian-Webseite erreicht werden und alle Ankündigungen für neue Verwundbarkeiten enthalten CVE-Namen, falls diese zum Zeitpunkt der Veröffentlichung schon verfügbar waren.
Der Debian Sicherheits-Tracker enthält die kanonische Liste von CVE-Namen, korrespondierenden Debian-Paketen, Debian-Sicherheitsankündigungen und Fehlernummern. Sie kann nach Paketnamen oder DSA-/CVE-Namen durchsucht werden und enthält Daten seit der Veröffentlichung von Debian Woody.
Allgemeine Fragen zum CVE-Status
- Was ist der aktuelle Status von Debian im CVE-Prozess?
- Warum finde ich einen bestimmten CVE-Namen nicht?
- Wo kann ich weitere Informationen finden?
F: Was ist der aktuelle Status von Debian im CVE-Prozess?
Die Debian-Sicherheitsankündigungen wurden am 24. Februar 2004 für CVE-kompatibel erklärt. Weitere Informationen finden Sie auf der CVE-Seite, einschließlich des Fähigkeitsfragebogen.
F: Warum finde ich einen bestimmten CVE-Namen nicht?
Der Sicherheits-Tracker sollte alle CVE-Namen enthalten. Für die anderen Listen könnten Sie einen gegebenen CVE-Namen aus den folgenden Gründen nicht in den veröffentlichten Ankündigungen finden:
- Kein Debian-Produkt ist von dieser Verwundbarkeit betroffen.
- Es gibt noch keine Ankündigung zu dieser Verwundbarkeit.
- Eine Ankündigung wurde veröffentlicht, bevor der Verwundbarkeit ein CVE-Name zugewiesen wurde.
F: Wo kann ich weitere Informationen finden?
Weitere Informationen finden Sie auf der CVE-Webseite.