Sicherheitspolitik - 5. Benachrichtigungen verschicken

Manche Nutzer aktualisieren ihre Software nicht sehr häufig. Damit möglichst schnell alle Nutzer aktualisierte Versionen der Pakete mit Sicherheitslücken installieren und benutzen, kann ein Paketbetreuer darum bitten, dass eine entsprechende Ankündigung über die Mailing-Liste "Fink announcement" verschickt wird.

5.1 Wer darf verschicken?

Diese Ankündigung darf nur vom Fink Security Team verschickt werden. Meistens wird das von dmalloc@users.sourceforge.net erledigt und einem PGP-Schlüssel mit folgender Signatur:

FD77 F0B7 5C65 F546 EB08 A4EC 3CCA 1A32 7E24 291E.
zu finden bei http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x7E24291E

Das obige ist absichtlich nicht als Link formatiert.

Weitere autorisierte Mitglieder des Teams sind: (fügen sie hier ihre Email-Adresse und den öffentlichen Schlüssel ein.)

peter@pogma.com signiert durch einen PGP-Schlüssel mit der Signatur:

4D67 1997 DD32 AE8E D7ED 9C79 8491 2AB7 DF3B 6004.
zu finden bei http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xDF3B6004

ranger@befunk.com signiert durch einen PGP-Schlüssel mit der Signatur:

6401 D02A A35F 55E9 D7DD 71C5 52EF A366 D3F6 65FE.
zu finden bei http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xD3F665FE

5.2 Wie ankündigen?

Damit sicher gestellt ist, dass Sicherheitsankündigungen ein einheitliches Aussehen haben, müssen sich alle an die folgende Vorlage halten.

 ID: FINK-YYYY-MMDD-NN
 Reported: YYYY-MM-DD
 Updated:  YYYY-MM-DD
 Package:  package-name
 Affected: <= versionid
 Maintainer: maintainer-name
 Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
 Mac OS X version: 10.3, 10.2
 Fix: patch|upstream
 Updated by: maintainer|forced update (Email)
 Description: A short description describing the issue.
 References: KEYWORD (see above)
 Ref-URL: URL

Ein Beispielsbericht könnte so aussehen:

 ID: FINK-2004-06-01
 Reported:         2004-06-09
 Updated:          2004-06-09
 Package:          cvs
 Affected:         <= 1.11.16, <= 1.12.8
 Maintainer:       Sylvain Cuaz
 Tree(s):          10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
 Mac OS X version: 10.3, 10.2
 Fix:              upstream
 Updated by: forced update (dmalloc@users.sourceforge.net)
 Description: Multiple vulnerabilities in CVS found by Ematters Security.
 References: BID
 Ref-URL:    http://www.securityfocus.com/bid/10499
 References: CVE
 Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
 References: CVE
 Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
 References: CVE
 Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
 References: CVE
 Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
 References: FULLDISCURL
 Ref-URL:    http://lists.netsys.com/pipermail/full-disclosure/2004-June/022441.html
 References: MISC
 Ref-URL:    http://security.e-matters.de/advisories/092004.html

Beachten sie bitte, dass sich das Schlüsselwort Affected auf alle Versionen der Software bezieht, die Sicherheitslücken aufweisen, nicht nur auf die, für die es Fink-Pakete gibt. Das Beispiel zeigt dies sehr deutlich.