Product SiteDocumentation Site

Kapitel 7. Die Infrastruktur für Sicherheit in Debian

7.1. Das Sicherheitsteam von Debian
7.2. Debian-Sicherheits-Ankündigungen
7.2.1. Querverweise der Verwundbarkeiten
7.2.2. CVE-Kompatibilität
7.3. Sicherheitsdatenbank
7.4. Die Infrastruktur des Sicherheitsprozesses in Debian
7.4.1. Leitfaden über Sicherheitsaktualisierungen für Entwickler
7.5. Paketsignierung in Debian
7.5.1. Die aktuelle Methode zur Prüfung von Paketsignaturen
7.5.2. Secure Apt
7.5.3. Überprüfung der Distribution mit der Release-Datei
7.5.4. Prüfung der Release-Datei von Debian-fremden Quellen
7.5.5. Alternativer Entwurf zur Einzelsignierung von Paketen

7.1. Das Sicherheitsteam von Debian

Debian hat ein Sicherheitsteam, das aus fünf Mitgliedern und zwei Sekretären besteht. Es ist für die Sicherheit in der Stable-Veröffentlichung verantwortlich. Das bedeutet, dass es Sicherheitslücken nachgeht, die in Software auftauchen (indem es Foren wie Bugtraq oder vuln-dev beobachtet), und ermittelt, ob davon die Stable-Veröffentlichung betroffen ist.
Das Sicherheitsteam von Debian ist auch der Ansprechpartner für Probleme, die von den Programmautoren oder Organisationen wie http://www.cert.org behandelt werden und die mehrere Linux-Anbieter betreffen können. Das gilt für alle Probleme, die nicht debianspezifisch sind. Die Kontaktadresse des Sicherheitsteams ist hmailto:[email protected], die nur die Mitglieder des Sicherheitsteams lesen.
Heikle Informationen sollten an die erste Adresse geschickt werden und unter Umständen mit dem Schlüssel von Debian Security Contact (der sich in Debians Schlüsselbund befindet) verschlüsselt werden.
Wenn das Sicherheitsteam ein mögliches Problem erhält, wird es untersuchen, ob die Stable-Veröffentlichung davon betroffen ist. Wenn dies der Fall ist, wird eine Ausbesserungen des Quellcodes vorgenommen. Diese Ausbesserung schließt manchmal ein, dass Patches der Programmautoren zurückportiert werden (da das Originalprogramm gewöhnlich einige Versionen weiter ist als das in Debian). Nachdem die Ausbesserung getestet wurde, werden neue Pakete vorbereitet und auf der Seite hsecurity-master.debian.org veröffentlicht, damit sie mit apt abgerufen werden können (siehe Abschnitt 4.2, „Ausführen von Sicherheitsaktualisierungen“). Zur gleichen Zeit wird eine Debian-Sicherheits-Ankündigung (DSA) auf der Webseite veröffentlicht und an öffentliche Mailinglisten einschließlich http://lists.debian.org/debian-security-announce und Bugtraq geschickt.
Einige andere häufige Fragen zum Sicherheitsteam von Debian können unter Abschnitt 12.3, „Fragen zu Debians Sicherheitsteam“ gefunden werden.