A FreeBSD több más kereskedelmi minőségű operációs rendszerhez hasonlóan "Biztonsági figyelmeztéseket" (Security Advisory) ad ki. Ezek a figyelmeztetések általában megjelennek a biztonsággal foglalkozó levelezési listákon és a hivatkozott hibák kijavítása után a megfelelő kiadások hibajegyzékében is. Ebben a szakaszban megismerjük és értelmezzük ezeket a figyelmeztetéseket, valamint megtudhatjuk, milyen lépéseket kell megtennünk a rendszerünk kijavításához.
A FreeBSD biztonsági figyelmeztetései az alább látható formában jelennek meg, amit mi most a freebsd-security-notifications levelezési listáról kölcsönöztünk.
============================================================================= FreeBSD-SA-XX:XX.UTIL Security Advisory The FreeBSD Project Topic: denial of service due to some problemCategory: core
Module: sys
Announced: 2003-09-23
Credits: Person@EMAIL-ADDRESS
Affects: All releases of FreeBSD
FreeBSD 4-STABLE prior to the correction date Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE) 2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6) 2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15) 2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8) 2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18) 2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21) 2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33) 2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43) 2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)
CVE Name: CVE-XXXX-XXXX
For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the following sections, please visit http://www.FreeBSD.org/security/. I. Background
II. Problem Description
III. Impact
IV. Workaround
V. Solution
VI. Correction details
VII. References
![]()
A
Topic
mezőben olvashatjuk pontosan mi is maga a probléma. Alapvetően bemutatja az érintett biztonsági figyelmeztetést és megemlíti a sebezhető segédprogramot.A
Category
mező hivatkozik a rendszer azon részére, amelyre a hiba kihatással lehet. Értéke lehetcore
,contrib
vagyports
. Acore
kategória azt jelzi, hogy a sebezhetőség a FreeBSD legfontosabb komponenseit érinti. Acontrib
kategória a FreeBSD projekt számára felajánlott szoftverek, mint például a sendmail sebezhetőségére utal. Végezetül aports
kategória jelzi, hogy a sebezhetőség valamelyik, a Portgyűjteményben szereplő szoftverre érvényes.A
Module
mező a sebezhető komponens helyét nevezi meg, példáulsys
. Ebben a példában azt láthatjuk, hogy asys
modul a hibás. Ezért a sebezhetőség egy rendszermagban használt komponenst érint.Az
Announced
mező a biztonsági figyelmeztetés kiadásának vagy széleskörű kihirdetésének dátumát rögzíti. Ez azt jelenti, hogy a biztonsági csapat meggyőződött a probléma létezéséről és a hibát orvosoló javítás már felkerült a FreeBSD forráskódjába.A
Credits
mező azokat az egyéneket vagy szervezeteket említi meg, akik észlelték a sebezhetőséget és jelentették.Az
Affects
mezőben megadják, hogy a FreeBSD melyik kiadásaira van hatással a sebezhetőség. Ha a rendszermag esetén lefuttatjuk azident
parancsot az érintett állományokra, akkor megtudhatjuk a pontos revíziójukat. A portoknál a verziószám a port neve után szerepel a/var/db/pkg
könyvtárban. Ha a rendszerünket nem frissítettük CVS-ről és fordítottuk újra, akkor nagy a valószínűsége, hogy a sebezhetőség minket is érint.A
Corrected
mező tartalmazza a a kijavítás dátumát, idejét, időzónáját és az ezt tartalmazó kiadást.Az ismert sebezhetőségek adatbázisában (Common Vulnerabilities Database, CVD) használt azonosítási információk alapján végzett keresések számára fenntartott.
A
Background
mező adja meg részleteiben a sebezhető programmal kapcsolatos tudnivalókat. Az esetek többségében itt írják le, hogy miért jött létre az adott eszköz a FreeBSD-ben, mire használják és hogyan keletkezett.A
Problem Description
mező a biztonsági rést részletezi. Ebben a részben szerepelhet a hibás kódrészlet vagy akár még az is, hogy miként kell vele előidézni a hibát.Az
Impact
mező a probléma lehetséges hatásait írja körül a rendszerben. Ez például lehet egy DoS támadás, speciális engedélyek ellopása vagy akár a rendszeradminisztrátori jogok megszerzése.A
Workaround
mező igyekszik elfogadható megoldást nyújtani a rendszerük frissítésére képtelen rendszergazdák számára. Ennek oka lehet az idő rövidsége, a hálózati elérhetőség vagy más okokból fakadó elcsúszás. Ennek ellenére a biztonsági kérdéseket sosem szabad félvállról venni, ezért a sebezhető rendszereket vagy ki kell javítani vagy valamilyen módon meg kell kerülni a biztonsági rés kialakulását.A
Solution
mező utasításokkal segít a rendszer kijavítását. Ez egy lépésről lépésre tesztelt és ellenőrzött módszer, amellyel a rendszerünket megfelelően ki tudjuk javítani és biztonságossá tenni.A
Correction Details
mező mutatja a CVS-ág vagy kiadás nevét, amelyben a pontokat aláhúzásra cserélték. Ezenkívül még az egyes ágakban az érintett állományok revízióját is mutatja.A
References
mező általában a témával kapcsolatos további forrásokat kínálja fel URL, könyv, levelezési lista vagy hírcsoport formájában.
Ha kérdése van a FreeBSD-vel kapcsolatban, a
következő címre írhat (angolul):
<questions@FreeBSD.org>.
Ha ezzel a dokumentummal kapcsolatban van kérdése, kérjük erre a címre írjon:
<gabor@FreeBSD.org>.