沙巴体育漏洞治疗政策

范围

支持的架构

沙巴体育 Linux在许多不同的架构上提供。 其中一些架构比其他架构更多,因此,能够更快地响应新的安全漏洞。 虽然沙巴体育安全项目的最终目标是确保所有架构同时接收安全修复, 我们还必须尽快抵消释放安全修复和格萨拉S的平衡,以便我们的大多数用户得到了通知和保护。

因此,安全团队将沙巴体育体系结构分为两组, 支持的不支持:

支持的
这些架构必须在格萨拉可以发布之前进行稳定修复
不支持
这些架构将收到新的漏洞(CC对相关错误)通知,但是,在发出格萨拉并关闭错误之前,我们不会等待在这些拱门上进行稳定修复

以下是当前支持的体系结构的列表: AMD64,PPC,PPC64,X86。

欢迎所有架构,并鼓励成为支持的架构。 有需要满足的两个直截了当的标准,以便由沙巴体育 安全项目正式支持:

  • 任命一个开发人员,他们是与您的拱门相关的安全问题(架构安全联络)的主要联系方式: 此人负责确保在特定架构上充分修复安全错误。
  • 同意遵守发布的时间表,以测试和标记包稳定。

内核

GLSA发布过程不包括内核。 仍然必须报告漏洞,并将是固定的,但是当一切都解决时,不会发出格萨拉。

非稳定包

有时,在不属于稳定树木的包裹中发现了漏洞。 这是这种情况,当漏洞是一个较新(〜arch)ebuild中的安全回归,但旧的(稳定)包不受影响,或者在树上没有任何稳定的Ebuilds时。 在这种情况下,仍然必须报告漏洞并将是固定的,但在一切解决时,不会发出格萨拉。

注意: 当我们的工具支持更复杂的升级路径时,如果有足够数量的Glsa协调器加入安全团队,则可能会更改此策略。

漏洞饲料

发布的漏洞

最初应该输入每个漏洞作为一个 Bugzilla. 输入产品“沙巴体育 安全”和组件“漏洞”(分配给 security@沙巴体育.org..)。 主要安全列表应具有分配给他们的正式侦察员,这应该确保在这些列表中宣布的所有漏洞获取安全Bugzilla.条目。

机密漏洞

机密漏洞(例如来自开发人员的直接通信或受限制列表)必须遵循特定程序。 它们不应显示为公共Bugzilla条目,但仅在安全限制媒体中,如私人Bugzilla.部分或Glsamaker工具。 它们应该在格萨拉协调器和包维护者之间使用私人通信渠道进行纠正。

注意: 机密漏洞的通信应得到正确加密。 他们应该被发送到特定的安全团队成员并用他们的OpenPGP密钥加密。 安全团队成员的列表可用 项目页面, 他们的关键ID可以抬头抬头 沙巴体育 Linux开发人员列表 他们的钥匙可以从中检索 subkeys.pgp.net. keyserver。 不鼓励使用IRC和其他未加密的消息传递方法。

调度

严重程度

为了种子适当的反应时间和升级程序,我们需要为每个漏洞分配严重程度。 此严重性级别必须基于受影响的软件在沙巴体育用户和漏洞的深度之外的广泛普遍。

您可以使用以下两个表来帮助您分配严重性级别:

包装是多么普遍 影响配置 严重性组件
系统包 默认或特定 A
公共包装(所谓的至少1/20 沙巴体育安装) 默认 A
具体 B
边缘软件(少于1/20 沙巴体育安装) 默认 B
具体 C
套餐,从来没有受影响的版本稳定 默认或特定 ~
评估漏洞类型 严重性组件 相应的Glsa严重程度
完整的远程系统妥协:远程执行具有root权限的任意代码 0
远程活动折衷:直接远程执行在服务器上的减少或用户权限的任意执行 1
本地特权升级:缺陷允许root妥协当您提供本地访问 1
远程被动折衷:通过诱使用户访问恶意服务器或使用恶意数据远程执行任意代码 2 正常
全球服务妥协:拒绝服务,密码,完整数据库泄漏,数据丢失(Symlink攻击) 3 正常
其他:跨站点脚本,信息泄漏...... 4

这是生成的严重性级别的表。 它们应该设置为相同名称的Bugzilla.严重性级别:

严重程度 相应的评估 目标延迟 格萨拉
拦截 A0, B0. 1天
危急 A1, C0. 3天
重大的 a2, B1., C1. 5天
正常 A3, B2, C2. 10天
次要 A4, B3., B4., C3. 20天 ?
不重要的 C4, 〜0, 〜1, 〜2, 〜3, 〜4 40天 没有
注意: 本表中所示的延迟是我们希望成为上游包开发人员的修复程序的发布和稳定的Ebuild和相应的格萨拉之间的最长时间。

安全Bug Wrangler角色

有人应该承担安全Bug Wrangler的责任,并一旦新的漏洞进入,就会完成以下任务 Bugzilla.:

  • 检查重复项:如果该错误描述了已报告的漏洞,则应将其分解为重复
  • 检查错误组件:如果该错误不是关于漏洞,则其组件应适当更改
  • 检查错误是否真的是一个漏洞,它会影响沙巴体育 Linux包,否则将错误解析为无效

在此阶段,可能有必要向记者询问详情。 该错误仍然存​​在未经证实的状态或只要必要确认。 当(如果)bug通过这些Sanity测试时,它应该标记为in_progress,bug wranger应该执行以下操作:

  • 重命名错误,以便启动它包含类别/包名(例如: 网邮/ clamav:dos使用rar文件)
  • 如果没有可用的固定版本,则删除错误标题中的版本信息。错误标题喜欢 <=category/package-1.2.3如果1.2.3是包装的最新版本,应该避免。
  • 评估并分配严重性级别(见上文)
  • 将状态设置为IN_Progress
  • 将状态白板种子到正确的严重性代码和状态
  • 根据包元数据,CC包维护者对错误
  • 将URL字段设置为上游错误或类似
  • 搜索保留或分配的CVE标识符并将其添加到错误标题,否则请求CVE
  • 在CVE跟踪器中输入错误编号(给定争吵者可以访问它)
  • 将别名字段设置为CVE标识符。如果有多个标识符,请使用第一个标识符。
警告: 在分配后,您不应更改错误严重性。如果您想提高开发人员意识,错误需要保重错误,请使用优先级字段。

时间范围和备份程序

在创建错误后,必须快速完成此调度,以便为主要漏洞进行短暂的延迟并向错误记者表示赞赏。 目标延迟是12小时。 安全Bug Wrangler必须维护可能的Glsa协调员列表,可用性和优先的专业领域。为了确保永久派遣,安全错误争吵者的工作应该有适当的备份。

臭虫纠正和格萨拉草稿

格萨拉协调员角色

格萨拉协调员对以下任务负责:

  • 确定必须完成的内容以关闭漏洞(例如,标识包含修复程序的上游版本)。
  • 如果尚未从上游使用修复,请确保将BUG正确报告给上游开发人员并将状态白板设置为 上游的.
  • 如果有修复程序,请获取涉及的包维护者生成并提交包含修复程序和设置状态白板的Ebuild Ebuild.
  • 一旦eBuild承诺,评估FIX EBUILD需要哪些关键字 并获得特定的团队的团队在其体系结构上测试和标记Ebuild稳定(拱门团队应该是Bug上的CC,以及在释放准备期间的Releng)并将状态白板设置为 稳定.
  • 如果与最新漏洞版本未收回FIX Ebuild,则应标记Ebuild稳定。
  • 并行,使用Glsamaker工具写出Glsa草案。
  • 当纠正eBuild准备所有支持的拱形时,将状态白板设置为 格萨拉.
注意: 如果BUG进行进度而分配的格萨拉协调器没有反应,则安全团队的其他成员可以帮助通过更新其状态来保持错误滚动。

时间范围和升级程序

为了满足漏洞分辨率的目标延迟,已经定义了许多升级过程。这些包括:

  • 当等待状态中的错误需要紧急护理时,您应该将状态白板条目更改为“+”对应: 上游+, Ebuild +, 稳定的+格萨拉 +.
  • 如果没有上游修复(上游+ 状态),必须在掩盖包装上采取决定: 安全团队可以掩盖一个不依赖于本身的包,在掩盖一个没有独立的包装之前应咨询维护者
  • 如果维护者/群体在召唤后48小时内没有显示出生产EBUILD(Ebuild + 状态),安全团队应该尝试自己碰到eBuild
  • 如果测试和标记稳定需要太多时间(稳定的+ 状态),安全团队将在IRC频道和沙巴体育-Dev列表中喊叫以获取更多的测试人员。 它可以自行标记Ebuild稳定,或者,如果由于稳定性问题而无法完成,掩盖它(请参阅上面的安全屏蔽批准策略)
  • 如果GLSA协调员没有出现起草格萨拉(格萨拉 +.状态),然后,安全团队的另一个成员应起草格萨拉并将其提交给同行评审

安全错误的良好做法

安全错误与其他错误不同,因为必须通过GLSA向用户展示简单而简单的升级路径。因此,包维护者和格萨拉协调员应遵循这些良好的做法:

  • 包括安全修复的Ebuild应该有自己的版本号,以便在普通系统升级过程中拾取它:如果需要,使用Rev-Bumps
  • 包括安全修复的Ebuild应该具有比任何先前发布的版本更高的版本号,从而可以向用户提出简单的升级路径
  • 如果是修补程序,它应该只应用于更新的版本,不需要用修补版本翻转所有Ebuild
  • 易受攻击的版本应该留在树中,直到错误进入 稳定 状态,为了正确评估修复版本所需的关键字

格萨拉出版过程

同行评审

准备就绪后,GLSA应提交给同行评审。 至少有两名安全团队成员必须批准GLSA草案。一旦草案通过了对等审查流程,它应该分配一个官方的格萨拉号码。

格萨拉释放

一旦GLSA通过了同行评审过程(确保Ebuild已进入稳定树),GLSA协调员应在沙巴体育 CVS存储库中提交GLSA XML。 完成此操作后,格萨拉将自动出现在 官方格萨拉索引页面RSS订阅.

格萨拉出版物

GLSA文本版本必须由格萨拉协调器发布到以下媒体:

沙巴体育 Linux官方公告邮件列表 gentoo -an没有unce@lists.沙巴体育.org..
沙巴体育 Linux公告论坛 //forums.沙巴体育.org./viewforum.php?f=16.

应发送一封电子邮件,其中包含以下规则:

  • 至: 字段必须设置为GENTOO宣布
  • 从:返回路径: 必须设置为格萨拉协调员@ 沙巴体育.org.地址
  • 学科: 字段必须是“[格萨拉 xxxxyy-zz]您的漏洞
  • 身体应该只包含格萨拉的文本版本
  • 电子邮件必须由格萨拉协调员OpenPGP密钥签名
笔记:
开发人员密钥ID可以在沙巴体育 Linux中找到 开发人员列表。所有安全团队OpenPGP密钥都在公钥服务器上发布,包括(但不限于) subkeys.pgp.net..
为了最大限度地减少出版过程中的错误,论坛发布步骤由自动海报收到通知时处理。
从2012年2月2日开始,我们已经决定不再有任何第三方。 沙巴体育-an没有uns邮件列表只有其他流量,因此它们应该订阅那里。 普通安全邮件列表,如全泄露或Bugtraq不是我们的目标受众,并且各种分布发送关于同一问题的通知对大多数读者都不是任何用途,它们也应该是沙巴体育宣布。

当GLSA已发布时,应将相应的Bugzilla.错误解析为固定,并在BUG的“评论”部分中引用的格萨拉编号。 在释放咨询后,Glsamaker 2提供此选项。

格萨拉 errata.

有时,错误将通过同行评审过程,并且将发布到世界上的不正确的格萨拉。根据错误的严重性,应应用以下策略:

格萨拉错误类型 错误的行动
拼写错误:演示文稿,语法或语法错误 没做什么
标题中的错误:标题是另一个包,或者没有正确描述漏洞 应该发布错误的Glsa,替换错误的Glsa
描述中的错误:问题未正确描述 格萨拉 XML应纠正,没有出版物
遗漏:格萨拉是正确但不完整的,您还需要更新另一个包以获得保护免受该漏洞的保护 应在其他弱势群体包装上发出单独的格萨拉
受影响/未受影响的版本号的错误,但无论如何,使用稳定包和应用格萨拉指令的人员受到保护 格萨拉 XML应纠正,没有出版物
受影响/未受影响的版本号的错误,应用格萨拉指令的人员根本没有受到保护 应该发布错误的Glsa,替换错误的Glsa