Avviso di sicurezza

Da Wiki di NetBSD Italia.

Versione delle 12:14, 31 lug 2009, autore: Clamiax (Discussione | contributi)
(diff) ← Versione meno recente | Versione corrente (diff) | Versione più recente → (diff)

Un avviso di sicurezza (abbreviato SA, dall'inglese Security Advisory) in campo informatico, e' essenzialmente un documento di testo che descrive un problema di sicurezza recentemente scoperto e gia' risolto, con tutti i riferimenti necessari alla sua risoluzione.

Generalmente, si tratta di un testo con tutti i dettagli tecnici legati al bug in questione e le relative istruzioni per ottenere e applicare le patch che lo correggono e ricompilare il software, o (come succede sempre nel caso di NetBSD) per aggiornare i sorgenti all'ultima versione disponibile in cui il bug e' stato corretto.

Indice

Anatomia

A seconda della tipologia di software cui si fa riferimento, il SA puo' variare leggermente. Questo dipende dalla scelta del team di sicurezza che si occupa della stesura e pubblicazione degli avvisi.

In generale tutti i SA contengono almeno le seguenti informazioni:

  • Un identificativo univoco per il SA (rappresentato dal nome del SA).
  • Una breve descrizione del problema; generalmente e' una sola riga di testo riassuntiva.
  • Una descrizione estesa del problema; piu' dettagliata rispetto alla precedente.
  • L'elenco delle versioni del software, fra quelle supportate, che sono affette dal problema.
  • Le istruzioni dettagliate, per ogni versione supportata del software, per risolvere il problema.

Alcuni team di sicurezza pubblicano degli SA con alcune informazioni aggiuntive, fra le quali sono incluse le seguenti:

  • Istruzioni per la risoluzione del problema senza correggere effettivamente il bug (workaround).
  • Informazioni di licenza relative al testo del SA.
  • Informazioni e istruzioni sulla verifica dell'autenticita' del SA.
  • La chiave pubblica della firma digitale.
  • Altre informazioni.

SA di NetBSD

Nel caso degli SA di NetBSD, l'elenco completo delle sezioni e' il seguente:

  • La testata. Questa comprende:
    • Hash: l'algoritmo di cifratura del SA. Questo e' sempre SHA1.
    • Titolo del SA. Ovvero il testo NetBSD Security Advisory seguito dalla parte dell'ID del SA che comprende l'identificativo dell'anno e del numero del SA (es. 2009-013).
    • Versioni affette: elenco delle versioni, fra quelle supportate, che sono affette dal problema ed, eventualmente, le date o le versioni del programma affetto in cui e' stato introdotto il problema.
    • Severita'. La tipologia del problema. Ad esempio Denial of Service, Remote DNS cache poisoning, etc.
    • Versioni in cui il problema e' stato risolto.
  • Sommario. Una descrizione piu' o meno dettagliata del problema e l'ID assegnato alla vulnerabilita' nei database del US-CERT.
  • Dettagli tecnici relativi al problema. Talvolta includono poche righe di codice in cui problema ha luogo.
  • Soluzioni e workaround. Tutti i dettagli necessari alla risoluzione del problema.
  • Ringraziamenti. Dedicati a chi ha trovato e segnalato il bug e allo sviluppatore che l'ha risolto.
  • Anno e numero di revisione del SA.
  • Ulteriori informazioni sul SA (non sul problema da quesi comincia consto descritto).
  • La chiave pubblica della firma digitale (PGP).

Nomi

Il nome identificativo del SA e' ottenuto universalmente secondo questa convenzione: nome del software (completo, abbreviato o utilizzando un acronimo) seguito da testo SA, seguito dall'anno e il numero del SA che lo identifica univocamente in quell'anno; alcuni includono anche il mese. Nel caso di Mozilla Firefox, ad esempio, un SA e' rapresentato dal nome MFSA 2009-41. Gentoo Linux utilizza SA come GLSA 200907-16, che includono anche il mese. Su NetBSD, un SA valido (ed esistente) e' rappresentato dal nome NetBSD-SA2009-013.

Collegamenti esterni

Estratto da "http://netbsdit.altervista.org/wiki/Avviso_di_sicurezza"
Strumenti personali