| Available Languages: | Deutsch | English | Français | 日本語 (Nihongo) | Português | 中文 (简) (Simplified Chinese) | |
本文档解释对已被 Fink 接纳的软件包的安全性意外的处理规则。虽然对于每个被接纳的软件包的主要责任仍然在于它们相应的维护者,但是 Fink 项目组仍然人为有必要提供统一的规则以应对可能发生的安全性意外事件。每个 Fink 软件包的维护者都应该遵循这个规则。
每个 Fink 软件包都有一个维护人。可以在命令行输入 fink info packagename 命令来查询到这个维护人。这会返回一系列信息,其中一段类似: Maintainer: Fink Core Group <fink-core@lists.sourceforge.net>。维护者对他/她的软件包负有全部责任。
如果你发现某个软件包存在安全性问题,你应该通知该软件包的维护者以及 Fink 核心团队。维护者的电子又见可以在软件包信息里面找到,而 Fink 核心团队 的是 fink-core@lists.sourceforge.net
我们要求你对于 Fink 的严重安全性问题需要预先通知软件包的维护者。由于不一定能在固定的事件内联系到维护者,预通知同时也应该提交到 Fink 安全团队。该团队的每个成员的电子邮件地址会在本文档的稍后地方列出。请注意 fink-core@lists.sourceforge.net 是一个公开的邮件列表,内部性的预通知绝对不能发送到这个列表中。
关于安全性问题所提交的报告会由 Fink 核心团队进行回应。每个维护者都被要求自行回复处理被报告的问题。在不太常见的情况下,如果找不到维护者或维护者不能在 24 小时之内回复,应该向 Fink 核心团队 发送信息通知他们维护者似乎没有回应。
如果你尝试通知维护者但是却被邮件系统退信,你应该立即通知 Fink 核心团队联系不到维护者这样软件包可以不经过维护者而得到更新。
响应时间和才于的行动主要取决于由于 Fink 中包含的这个软件包安全性漏洞可能导致的损失的严重程度。在任何情况下,如果 Fink 核心团队必须立刻保护 Fink 用户社区,它将会采取立即的行动。
每个软件包都应该争取达到下面的响应时间。 对一些脆弱性的问题 Fink 核心团队可能会采取立即的行动。在这种情况下,一个核心团队的成员会通知可能存在问题的软件包的维护者。另外,请注意虽然我们努力达到这个响应时间标准,但 Fink 是一个志愿者活动,因此我们并不能保证一定可以达到这点。
| Vulnerability | Repsonse time |
|---|---|
| 远程 root 权限获取 |
最短时间:立即;最长时间:12 小时。 |
| 本地 root 权限获取 |
最短时间:12 小时;最长时间:36 小时。 |
| 远程 DoS(拒绝服务攻击) |
最短时间:6 小时;最长时间:12 小时。 |
| 本地 DoS |
最短时间:24 小时;最长时间:72 小时。 |
| 远程数据破坏 |
最短时间:12 小时;最长时间:24 小时。 |
| 本地数据破坏 |
最短时间:24 小时;最长时间:72 小时。 |
Fink 核心团队中的一个成员有可能会选择更新软件包而不等待软件包的维护者先采取行动。这称为强制更新。对导致某些脆弱性问题的软件包未能在最长时间要求内完成更新也会导致一次强制更新。
作为安全漏洞的提交者,你有责任确定软件的脆弱性的确存在于 Mac OS X 中。作为通知方的责任,他应该使下面的组织之一确认可疑的问题的确存在。
上面的关键字附和这里的关键字列表标准 CVE。
安全性更新只能在软件包的原作者检验并发现是安全性问题以后才可实施。在更新之前,必须 附和下述条件之一或以上:
对某个软件包的安全性更新会首先应用在 unstable 分支。经过不少于 12 小时的间隔以后软件包的信息文件(最终还将包括补丁文件)会同样放入 stable 分支。这个间隔时间应该用来密切注视更新软件包的工作情况以及安全更新不会导致新的安全问题。
有些用户不会很经常地更新他们的软件。为了确保那些从源代码安装软件包的用户可以尽快更新发生问题的软件包,维护者可以向 Fink 通知邮件列表发送邮件要求发送通知。
这些通知应该只由 Fink 安全团队发布。 多数通知会发自 dmalloc@users.sourceforge.net,邮件会用 PGP 密钥签署,其指纹为:
上述网址是特意设为非链接的。
其它被授权的团队成员包括:(here you add your email + public key like I did above)
peter@pogma.com,PGP 密钥指纹为:
其它被授权的团队成员包括:(here you add your email + public key like I did above)
ranger@befunk.com,PGP 密钥指纹为:
为了确保安全性通知有统一的形式,所有安全性通知必须符合下面的模板。
ID: FINK-YYYY-MMDD-NN
Reported: YYYY-MM-DD
Updated: YYYY-MM-DD
Package: package-name
Affected: <= versionid
Maintainer: maintainer-name
Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
Mac OS X version: 10.3, 10.2
Fix: patch|upstream
Updated by: maintainer|forced update (Email)
Description: A short description describing the issue.
References: KEYWORD (see above) Ref-URL: URL
样板的报告应该大致是这样的:
ID: FINK-2004-06-01
Reported: 2004-06-09
Updated: 2004-06-09
Package: cvs
Affected: <= 1.11.16, <= 1.12.8
Maintainer: Sylvain Cuaz
Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
Mac OS X version: 10.3, 10.2
Fix: upstream
Updated by: forced update (dmalloc@users.sourceforge.net)
Description: Multiple vulnerabilities in CVS found my Ematters
Security. References: BID
Ref-URL: http://www.securityfocus.com/bid/10499
References: CVE
Ref-URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
References: CVE
Ref-URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
References: CVE
Ref-URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
References: CVE
Ref-URL: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
References: FULLDISCURL
Ref-URL: http://lists.netsys.com/pipermail/full-disclosure/2004-June/022441.html
References: MISC
Ref-URL: http://security.e-matters.de/advisories/092004.html
请注意 Affected 关键字所指的软件包并不只包含 Fink 中的软件包。在样本报告中很清楚地展示了这点。
Copyright (c) 2001 Christoph Pfisterer, Copyright (c) 2001-2020 The Fink Project. You may distribute this document in print for private purposes, provided the document and this copyright notice remain complete and unmodified. Any commercial reproduction and any online publication requires the explicit consent of the author.
Generated from $Fink: sec-policy.zh.xml,v 1.6 2005/04/09 16:12:59 babayoshihiko Exp $