Avviso di sicurezza

Da Wiki di NetBSD Italia.

Un avviso di sicurezza (abbreviato SA, dall'inglese Security Advisory) in campo informatico, e' essenzialmente un documento di testo che descrive un problema di sicurezza recentemente scoperto e gia' risolto, con tutti i riferimenti necessari alla sua risoluzione.

Generalmente, si tratta di un testo con tutti i dettagli tecnici legati al bug in questione e le relative istruzioni per ottenere e applicare le patch che lo correggono e ricompilare il software, o (come succede sempre nel caso di NetBSD) per aggiornare i sorgenti all'ultima versione disponibile in cui il bug e' stato corretto.

Indice 1 Anatomia 1.1 SA di NetBSD 2 Nomi 3 Collegamenti esterni

Anatomia

A seconda della tipologia di software cui si fa riferimento, il SA puo' variare leggermente. Questo dipende dalla scelta del team di sicurezza che si occupa della stesura e pubblicazione degli avvisi.

In generale tutti i SA contengono almeno le seguenti informazioni:

• Un identificativo univoco per il SA (rappresentato dal nome del SA).
• Una breve descrizione del problema; generalmente e' una sola riga di testo riassuntiva.
• Una descrizione estesa del problema; piu' dettagliata rispetto alla precedente.
• L'elenco delle versioni del software, fra quelle supportate, che sono affette dal problema.
• Le istruzioni dettagliate, per ogni versione supportata del software, per risolvere il problema.

Alcuni team di sicurezza pubblicano degli SA con alcune informazioni aggiuntive, fra le quali sono incluse le seguenti:

• Istruzioni per la risoluzione del problema senza correggere effettivamente il bug (workaround).
• Informazioni di licenza relative al testo del SA.
• Informazioni e istruzioni sulla verifica dell'autenticita' del SA.
• La chiave pubblica della firma digitale.
• Altre informazioni.

SA di NetBSD

Nel caso degli SA di NetBSD, l'elenco completo delle sezioni e' il seguente:

• La testata. Questa comprende:
  • Hash: l'algoritmo di cifratura del SA. Questo e' sempre SHA1.
  • Titolo del SA. Ovvero il testo NetBSD Security Advisory seguito dalla parte dell'ID del SA che comprende l'identificativo dell'anno e del numero del SA (es. 2009-013).
  • Versioni affette: elenco delle versioni, fra quelle supportate, che sono affette dal problema ed, eventualmente, le date o le versioni del programma affetto in cui e' stato introdotto il problema.
  • Severita'. La tipologia del problema. Ad esempio Denial of Service, Remote DNS cache poisoning, etc.
  • Versioni in cui il problema e' stato risolto.
• Sommario. Una descrizione piu' o meno dettagliata del problema e l'ID assegnato alla vulnerabilita' nei database del US-CERT.
• Dettagli tecnici relativi al problema. Talvolta includono poche righe di codice in cui problema ha luogo.
• Soluzioni e workaround. Tutti i dettagli necessari alla risoluzione del problema.
• Ringraziamenti. Dedicati a chi ha trovato e segnalato il bug e allo sviluppatore che l'ha risolto.
• Anno e numero di revisione del SA.
• Ulteriori informazioni sul SA (non sul problema da quesi comincia consto descritto).
• La chiave pubblica della firma digitale (PGP).

Nomi

Il nome identificativo del SA e' ottenuto universalmente secondo questa convenzione: nome del software (completo, abbreviato o utilizzando un acronimo) seguito da testo SA, seguito dall'anno e il numero del SA che lo identifica univocamente in quell'anno; alcuni includono anche il mese. Nel caso di Mozilla Firefox, ad esempio, un SA e' rapresentato dal nome MFSA 2009-41. Gentoo Linux utilizza SA come GLSA 200907-16, che includono anche il mese. Su NetBSD, un SA valido (ed esistente) e' rappresentato dal nome NetBSD-SA2009-013.

Collegamenti esterni

• Pagina Sicurezza e NetBSD sul sito ufficiale.
• Archivio storico degli avvisi di sicurezza di NetBSD.
• Sito ufficiale del US-CERT.