Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheits-Prüfungs-FAQ

Diese Seite listet einige häufig gestellte Fragen auf, die Leute vermutlich haben, wenn sie zum ersten Mal von diesem Projekt hören.

• Was ist das Debian-Security-Audit-Projekt?
• Wann wurde das Debian-Security-Audit-Projekt gestartet?
• Welche Sicherheitsgutachten sind durch die Prüfungen entstanden?
• Steht sämtliche Audit-Arbeit in Bezug zu Gutachten?
• Wer hat zu dem Projekt beigetragen?
• Wie kann ich zum Projekt beitragen?
• Kann auf der Liste über spezielle Pakete diskutiert werden?
• Wie kann ich als Paketverwalter beitragen?
• Wie berichtet man ein entdecktes Problem?
• Sind Pakete in denen keine Mängel gefunden wurden in einer Übersicht verfügbar?
• Wo kann ich weitere Informationen finden?

Was ist das Debian-Security-Audit-Projekt?

Das Debian-Security-Audit-Projekt ist ein kleines Projekt innerhalb Debian, das es sich zum Ziel gesetzt hat, die in der Debian-Distribution enthaltenen Softwarepakete auf mögliche Sicherheitsmängel mittels Durchsicht des Quellcodes zu prüfen.

Die Überprüfung beschränkt sich derzeit auf die stabile Debian-Distribution und hält sich an die Paket-Priorisierungsrichtlinien.

Wann wurde das Debian-Security-Audit-Projekt gestartet?

Das erste Sicherheitsgutachten wurde im Dezember 2002 veröffentlicht, gefolgt von weiteren inoffiziellen Meldungen bis hin zur öffentlichen Anerkennung des Projektes durch den Debian-Projektleiter, Martin Michlmayr, im Mai 2004.

Welche Sicherheitsgutachten sind durch die Prüfungen entstanden?

Es wurden mehrere Gutachten in Folge der geleisteten Überprüfungen bekanntgemacht. All jene, die erschienen bevor das Projekt offiziell anerkannt wurde, werden auf der Audit Advisories Seite aufgelistet.

Man hofft dass es in naher Zukunft möglich sein wird die durch das Projekt veröffentlichten Meldungen aufzufinden indem man die Debian-Sicherheitsmeldungen durchsucht und nach dem Stichwort Debian Security Audit Projekt recherchiert.

Steht sämtliche Audit-Arbeit in Bezug zu Gutachten?

Eigentlich nicht. Im Rahmen des Audit-Prozesses wurden viele Sicherheitsprobleme gefunden, die nicht direkt ausnutzbar waren (sie können jedoch zu einem Programmabsturz führen). Einige andere der von uns gefundenen ausnutzbaren Sicherheitsprobleme waren nicht in Debians offizieller Stable-Veröffentlichung, aber in der Testing- und in der Unstable-Veröffentlichung enthalten. Alle diese wurden mittels der Fehlerdatenbank von Debian berichtet (in einigen Fällen direkt an die ursprünglichen Autoren). Sie können sich einige der Fehler ansehen, die aufgrund des Audit-Prozesses eröffnet wurden.

Wer hat zu dem Projekt beigetragen?

Steve Kemp ist der Gründer des Projektes, der auch für die Entstehung der Prozessabläufe und deren Test, durch die Aufdeckung mehrerer Sicherheitslücken zuständig war.

Ulf Härnhammar trat dem Projekt während seiner Entstehungsphase bei und deckte mehrere Sicherheitsmängel auf, die mittlerweile behoben wurden. Kurz nachdem Ulf dem Projekt beigetreten war, folgten Jaguar und Javier Fernández-Sanguino, die ebenfalls mehrere schwerwiegende Sicherheitslücken aufdeckten.

David A. Wheeler trieb Steve Kemp dazu an, das Projekt als offizielles Debian-Teilprojekt zu etablieren, was durch das Engagement des Debian-Projektleiters Martin Michlmayr möglich wurde. David trug ebenfalls aktiv zu der Entstehung dieser Seiten bei.

Das Debian-Sicherheits-Team trug maßgeblich zur Veröffentlichung und Beseitigung der vom Projekt gefundenen Sicherheitsmängel bei.

Weitere Helfer sind immer willkommen!

Wie kann ich zum Projekt beitragen?

Durch das Überprüfen von Paketen auf Sicherheitsmängel, wenn Sie die entsprechenden Fähigkeiten sowie die Zeit dazu haben.

Die Prüfungsübersicht sollte einige Startpunkte zu diesem Vorhaben geben – weitere Fragen können über die debian-audit Mailingliste gestellt werden.

Kann auf der Liste über spezielle Pakete diskutiert werden?

Es wäre von Vorteil, wenn Pakete die aufgedeckte Sicherheitsprobleme beinhalten, nicht beim Namen genannt würden, bis ein DSA veröffentlicht wurde. Dies verhindert, dass Personen mit bösartigen Absichten diese Fehler ausnutzen bevor sie beseitigt wurden.

Die Mailingliste kann dazu verwendet werden um Meinungen über Sourcecode einzuholen und darüber zu diskutieren, ob er mögliche Sicherheitsmängel beinhält und wie diese beseitigt werden können.

Wie kann ich als Paketverwalter beitragen?

Paketverwalter können helfen indem sie die Sicherheit der Software, die sie betreuen, durch die Überprüfung des Quellcodes sicherstellen oder nach Hilfe fragen.

Siehe auch die überpüfung durch Paketverwalter-Übersicht.

Wie berichtet man ein entdecktes Problem?

Hierzu gibt es einen Abschnitt im vom Debian-Sicherheits-Team erstellten FAQ, das diesen Prozess beschreibt: Debian-Sicherheits-FAQ.

Sind Pakete in denen keine Mängel gefunden wurden in einer Übersicht verfügbar?

Nein, eine Liste von Paketen in denen während der Überprüfung keine Sicherheitsmängel aufgedeckt wurden existiert nicht.

Dies ist zum Teil der Fall, da es mögliche Probleme geben kann die eventuell übersehen wurden und die Überprüfungen durch mehrere Personen ohne ausreichende Koordination vorgenommen wurden.

Wo kann ich weitere Informationen finden?

Es gibt eine Mailingliste über die Fragen gestellt werden können.

Siehe die debian-audit Mailinglisten-Seite für mehr Informationen.

---

Zurück zur Homepage des Debian-Projekts.

---

Diese Seite gibt es auch in den folgenden Sprachen:

English español français 日本語 (Nihongo)

Wie stellt man die Standardsprache ein

---