Avviso di sicurezza
Da Wiki di NetBSD Italia.
m (Aggiungo la pagina alla Categoria:Fondamenti) |
(Estendo l'articolo includendo maggiori dettagli.) |
||
Riga 1: | Riga 1: | ||
- | Un '''avviso di sicurezza''', in campo informatico, e' essenzialmente un documento di testo | + | Un '''avviso di sicurezza''' (abbreviato '''SA''', dall'inglese ''Security Advisory'') |
- | che descrive un problema di sicurezza recentemente scoperto e gia' risolto, con tutti i | + | in campo informatico, e' essenzialmente un documento di testo che descrive un problema |
- | riferimenti necessari alla sua risoluzione. | + | di sicurezza recentemente scoperto e gia' risolto, con tutti i riferimenti necessari |
+ | alla sua risoluzione. | ||
Generalmente, si tratta di un testo con tutti i dettagli tecnici legati al ''bug'' in | Generalmente, si tratta di un testo con tutti i dettagli tecnici legati al ''bug'' in | ||
questione e le relative istruzioni per ottenere e applicare le patch che lo correggono | questione e le relative istruzioni per ottenere e applicare le patch che lo correggono | ||
- | e ricompilare il software, o (come succede sempre nel caso di | + | e ricompilare il software, o (come succede sempre nel caso di NetBSD) per aggiornare |
i sorgenti all'ultima versione disponibile in cui il bug e' stato corretto. | i sorgenti all'ultima versione disponibile in cui il bug e' stato corretto. | ||
+ | |||
+ | == Anatomia == | ||
+ | A seconda della tipologia di software cui si fa riferimento, il SA puo' variare leggermente. | ||
+ | Questo dipende dalla scelta del team di sicurezza che si occupa della stesura e pubblicazione | ||
+ | degli avvisi. | ||
+ | |||
+ | In generale tutti i SA contengono almeno le seguenti informazioni: | ||
+ | |||
+ | * Un identificativo univoco per il SA (rappresentato dal [[#Nomi|nome]] del SA). | ||
+ | * Una breve descrizione del problema; generalmente e' una sola riga di testo riassuntiva. | ||
+ | * Una descrizione estesa del problema; piu' dettagliata rispetto alla precedente. | ||
+ | * L'elenco delle versioni del software, fra quelle supportate, che sono affette dal problema. | ||
+ | * Le istruzioni dettagliate, per ogni versione supportata del software, per risolvere il problema. | ||
+ | |||
+ | Alcuni team di sicurezza pubblicano degli SA con alcune informazioni aggiuntive, fra le quali | ||
+ | sono incluse le seguenti: | ||
+ | |||
+ | * Istruzioni per la risoluzione del problema senza correggere effettivamente il bug (workaround). | ||
+ | * Informazioni di licenza relative al testo del SA. | ||
+ | * Informazioni e istruzioni sulla verifica dell'autenticita' del SA. | ||
+ | * La chiave pubblica della firma digitale. | ||
+ | * Altre informazioni. | ||
+ | |||
+ | === SA di NetBSD === | ||
+ | Nel caso degli SA di NetBSD, l'elenco completo delle sezioni e' il seguente: | ||
+ | |||
+ | * La testata. Questa comprende: | ||
+ | ** Hash: l'algoritmo di cifratura del SA. Questo e' sempre SHA1. | ||
+ | ** Titolo del SA. Ovvero il testo ''NetBSD Security Advisory'' seguito dalla parte dell'ID del SA che comprende l'identificativo dell'anno e del numero del SA (es. 2009-013). | ||
+ | ** Versioni affette: elenco delle versioni, fra quelle supportate, che sono affette dal problema ed, eventualmente, le date o le versioni del programma affetto in cui e' stato introdotto il problema. | ||
+ | ** Severita'. La tipologia del problema. Ad esempio ''Denial of Service'', ''Remote DNS cache poisoning'', etc. | ||
+ | ** Versioni in cui il problema e' stato risolto. | ||
+ | * Sommario. Una descrizione piu' o meno dettagliata del problema e l'ID assegnato alla vulnerabilita' nei database del US-CERT. | ||
+ | * Dettagli tecnici relativi al problema. Talvolta includono poche righe di codice in cui problema ha luogo. | ||
+ | * Soluzioni e workaround. Tutti i dettagli necessari alla risoluzione del problema. | ||
+ | * Ringraziamenti. Dedicati a chi ha trovato e segnalato il bug e allo sviluppatore che l'ha risolto. | ||
+ | * Anno e numero di revisione del SA. | ||
+ | * Ulteriori informazioni sul SA (non sul problema da quesi comincia consto descritto). | ||
+ | * La chiave pubblica della firma digitale (PGP). | ||
+ | |||
+ | == Nomi == | ||
+ | Il nome identificativo del SA e' ottenuto universalmente secondo questa convenzione: | ||
+ | nome del software (completo, abbreviato o utilizzando un acronimo) seguito da testo SA, | ||
+ | seguito dall'anno e il numero del SA che lo identifica univocamente in quell'anno; alcuni | ||
+ | includono anche il mese. | ||
+ | Nel caso di Mozilla Firefox, ad esempio, un SA e' rapresentato dal nome ''MFSA 2009-41''. | ||
+ | Gentoo Linux utilizza SA come ''GLSA 200907-16'', che includono anche il mese. | ||
+ | Su NetBSD, un SA valido (ed esistente) e' rappresentato dal nome ''NetBSD-SA2009-013''. | ||
== Collegamenti esterni == | == Collegamenti esterni == | ||
* Pagina [http://www.netbsd.org/support/security/ Sicurezza e NetBSD] sul [http://netbsd.org/ sito ufficiale]. | * Pagina [http://www.netbsd.org/support/security/ Sicurezza e NetBSD] sul [http://netbsd.org/ sito ufficiale]. | ||
* Archivio storico degli [http://www.netbsd.org/support/security/advisory.html avvisi di sicurezza] di NetBSD. | * Archivio storico degli [http://www.netbsd.org/support/security/advisory.html avvisi di sicurezza] di NetBSD. | ||
+ | * Sito ufficiale del [http://www.kb.cert.org/vuls US-CERT]. | ||
[[Categoria:Fondamenti]] | [[Categoria:Fondamenti]] |
Versione corrente delle 12:14, 31 lug 2009
Un avviso di sicurezza (abbreviato SA, dall'inglese Security Advisory) in campo informatico, e' essenzialmente un documento di testo che descrive un problema di sicurezza recentemente scoperto e gia' risolto, con tutti i riferimenti necessari alla sua risoluzione.
Generalmente, si tratta di un testo con tutti i dettagli tecnici legati al bug in questione e le relative istruzioni per ottenere e applicare le patch che lo correggono e ricompilare il software, o (come succede sempre nel caso di NetBSD) per aggiornare i sorgenti all'ultima versione disponibile in cui il bug e' stato corretto.
Indice |
Anatomia
A seconda della tipologia di software cui si fa riferimento, il SA puo' variare leggermente. Questo dipende dalla scelta del team di sicurezza che si occupa della stesura e pubblicazione degli avvisi.
In generale tutti i SA contengono almeno le seguenti informazioni:
- Un identificativo univoco per il SA (rappresentato dal nome del SA).
- Una breve descrizione del problema; generalmente e' una sola riga di testo riassuntiva.
- Una descrizione estesa del problema; piu' dettagliata rispetto alla precedente.
- L'elenco delle versioni del software, fra quelle supportate, che sono affette dal problema.
- Le istruzioni dettagliate, per ogni versione supportata del software, per risolvere il problema.
Alcuni team di sicurezza pubblicano degli SA con alcune informazioni aggiuntive, fra le quali sono incluse le seguenti:
- Istruzioni per la risoluzione del problema senza correggere effettivamente il bug (workaround).
- Informazioni di licenza relative al testo del SA.
- Informazioni e istruzioni sulla verifica dell'autenticita' del SA.
- La chiave pubblica della firma digitale.
- Altre informazioni.
SA di NetBSD
Nel caso degli SA di NetBSD, l'elenco completo delle sezioni e' il seguente:
- La testata. Questa comprende:
- Hash: l'algoritmo di cifratura del SA. Questo e' sempre SHA1.
- Titolo del SA. Ovvero il testo NetBSD Security Advisory seguito dalla parte dell'ID del SA che comprende l'identificativo dell'anno e del numero del SA (es. 2009-013).
- Versioni affette: elenco delle versioni, fra quelle supportate, che sono affette dal problema ed, eventualmente, le date o le versioni del programma affetto in cui e' stato introdotto il problema.
- Severita'. La tipologia del problema. Ad esempio Denial of Service, Remote DNS cache poisoning, etc.
- Versioni in cui il problema e' stato risolto.
- Sommario. Una descrizione piu' o meno dettagliata del problema e l'ID assegnato alla vulnerabilita' nei database del US-CERT.
- Dettagli tecnici relativi al problema. Talvolta includono poche righe di codice in cui problema ha luogo.
- Soluzioni e workaround. Tutti i dettagli necessari alla risoluzione del problema.
- Ringraziamenti. Dedicati a chi ha trovato e segnalato il bug e allo sviluppatore che l'ha risolto.
- Anno e numero di revisione del SA.
- Ulteriori informazioni sul SA (non sul problema da quesi comincia consto descritto).
- La chiave pubblica della firma digitale (PGP).
Nomi
Il nome identificativo del SA e' ottenuto universalmente secondo questa convenzione: nome del software (completo, abbreviato o utilizzando un acronimo) seguito da testo SA, seguito dall'anno e il numero del SA che lo identifica univocamente in quell'anno; alcuni includono anche il mese. Nel caso di Mozilla Firefox, ad esempio, un SA e' rapresentato dal nome MFSA 2009-41. Gentoo Linux utilizza SA come GLSA 200907-16, che includono anche il mese. Su NetBSD, un SA valido (ed esistente) e' rappresentato dal nome NetBSD-SA2009-013.
Collegamenti esterni
- Pagina Sicurezza e NetBSD sul sito ufficiale.
- Archivio storico degli avvisi di sicurezza di NetBSD.
- Sito ufficiale del US-CERT.