diff options
| author | Thomas Lange <lange@debian.org> | 2022-07-18 20:39:26 +0200 |
|---|---|---|
| committer | Thomas Lange <lange@debian.org> | 2022-07-18 20:39:26 +0200 |
| commit | 3a5c68f115956c48aa60c6aa793eb4d802665b23 (patch) | |
| tree | 97ffc61f2b63b7eb070fa559544d08c635fd1e8c | |
| parent | 698f6bf9f73d2a210811404b728d77b8d4e94327 (diff) | |
the security audit project is inactive
305 files changed, 2 insertions, 10582 deletions
diff --git a/danish/security/audit/Makefile b/danish/security/audit/Makefile deleted file mode 100644 index 7e02cbb1a57..00000000000 --- a/danish/security/audit/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/danish,webwml/english,$(CURDIR))/Makefile diff --git a/danish/security/audit/index.wml b/danish/security/audit/index.wml deleted file mode 100644 index 80cf9662cd0..00000000000 --- a/danish/security/audit/index.wml +++ /dev/null @@ -1,47 +0,0 @@ -#use wml::debian::template title="Debians sikkerhedsauditprojekt" -#use wml::debian::translation-check translation="57f73cd8cc7f0c94f280e3444c075d201e8d42a8" -#use wml::debian::recent_list - -<p>Debians sikkerhedsauditprojekt er et projekt med fokus på auditering af -Debian-pakke for at finde sikkerhedshuller.</p> - -<p>I sin korte levetid har det været ansvarligt for flere af -<a href="$(HOME)/security/">Debians sikkerhedsbulletiner</a>, hvilket beviser at -auditprocessen virkelig kan forbedre sikkerheden i Debian. Håbet at flere -sikkerhedsbulletiner vil blive resultatet af dette arbejde.</p> - -<p>Med den proaktivte holdning til auditering af kode, er vi med til at sikre -at Debian fortsætter sin lange tradition med at tage sikkerhed alvorligt.</p> - - -<h2>Auditeringsomfang</h2> - -<p>Projektets mål er at auditere så mange pakker som muligt i Debians stabile -udgave, for at finde potentielle fejl. Vigtige pakker i den ustabile -distribution kan også blive undersøgt for fejl, for at mindske sandsynligheden -for at usikre pakker i det hele taget bliver en del af den stabile udgave.</p> - -<p>På grund af den blotte størrelse af den aktuelle Debian-udgave, er det -umuligt for en lille gruppe at auditere alle pakkerne, så der er et system til -prioritering af pakker som er mere sikkerhedsfølsomme.</p> - -<p><a href="packages">Pakkeprioriteringsretningslinierne</a> forsøger at sikre -at der bruges tid på at auditere pakker hvor det betyder noget, og -<a href="tools">oversigten over auditeringsværktøjer</a> viser hvordan nogle af -de tilgængelige kildekode-scannere kan anvendes som guide under en audit.</p> - - -<h2>Udgivne bulletiner</h2> - -<p>For hver pakke der har vist sig at være sårbar overfor et sikkerhedsproblem, -vil der blive udsendt en <a href="$(HOME)/security/">DSA</a> af Debians -sikkerhedsteam.</p> - -<p>Som reference er der en <a href="advisories">liste over tidligere -bulletiner</a>, der er et direkte resultat af auditeringsprocessen.</p> - - -<h2>Flere oplysninger</h2> - -<p>Flere oplysninger om projektet findes i <a href="faq">\ -sikkerhedsaudit-OSS'en</a>.</p> diff --git a/dutch/security/audit/2002/Makefile b/dutch/security/audit/2002/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/audit/2002/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/audit/2002/index.wml b/dutch/security/audit/2002/index.wml deleted file mode 100644 index 442bae80f16..00000000000 --- a/dutch/security/audit/2002/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Beveilingingsauditberichten voor 2002" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Berichten uitgegeven in 2002</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p>Terug naar het <a href="..">Beveiligingsauditproject</a>, of naar het -<a href="../advisories">overzicht van Beveilingingsauditberichten</a>.</p> diff --git a/dutch/security/audit/2003/Makefile b/dutch/security/audit/2003/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/audit/2003/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/audit/2003/index.wml b/dutch/security/audit/2003/index.wml deleted file mode 100644 index a15d764f8e5..00000000000 --- a/dutch/security/audit/2003/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Beveilingingsauditberichten voor 2003" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Berichten uitgegeven in 2003</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2003.inc" - -<p>Terug naar het <a href="..">Beveiligingsauditproject</a>, of naar het -<a href="../advisories">overzicht van Beveilingingsauditberichten</a>.</p> diff --git a/dutch/security/audit/2004/Makefile b/dutch/security/audit/2004/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/audit/2004/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/audit/2004/index.wml b/dutch/security/audit/2004/index.wml deleted file mode 100644 index de336f7be9b..00000000000 --- a/dutch/security/audit/2004/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Beveilingingsauditberichten voor 2004" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Berichten uitgegeven in 2004</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2004.inc" - -<p>Terug naar het <a href="..">Beveiligingsauditproject</a>, of naar het -<a href="../advisories">overzicht van Beveilingingsauditberichten</a>.</p> diff --git a/dutch/security/audit/2005/Makefile b/dutch/security/audit/2005/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/audit/2005/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/audit/2005/index.wml b/dutch/security/audit/2005/index.wml deleted file mode 100644 index 1ead907ea49..00000000000 --- a/dutch/security/audit/2005/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Beveilingingsauditberichten voor 2005" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Berichten uitgegeven in 2005</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2005.inc" - -<p>Terug naar het <a href="..">Beveiligingsauditproject</a>, of naar het -<a href="../advisories">overzicht van Beveilingingsauditberichten</a>.</p> diff --git a/dutch/security/audit/2006/Makefile b/dutch/security/audit/2006/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/audit/2006/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/audit/2006/index.wml b/dutch/security/audit/2006/index.wml deleted file mode 100644 index c0854ee96c2..00000000000 --- a/dutch/security/audit/2006/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Beveilingingsauditberichten voor 2006" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Berichten uitgegeven in 2006</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2006.inc" - -<p>Terug naar het <a href="..">Beveiligingsauditproject</a>, of naar het -<a href="../advisories">overzicht van Beveilingingsauditberichten</a>.</p> diff --git a/dutch/security/audit/2007/Makefile b/dutch/security/audit/2007/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/audit/2007/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/audit/2007/index.wml b/dutch/security/audit/2007/index.wml deleted file mode 100644 index 773f290991c..00000000000 --- a/dutch/security/audit/2007/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Beveilingingsauditberichten voor 2007" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Berichten uitgegeven in 2007</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2007.inc" - -<p>Terug naar het <a href="..">Beveiligingsauditproject</a>, of naar het -<a href="../advisories">overzicht van Beveilingingsauditberichten</a>.</p> diff --git a/dutch/security/audit/Makefile b/dutch/security/audit/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/audit/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/audit/advisories.wml b/dutch/security/audit/advisories.wml deleted file mode 100644 index be4e8b4e702..00000000000 --- a/dutch/security/audit/advisories.wml +++ /dev/null @@ -1,27 +0,0 @@ -#use wml::debian::template title="Beveiligingsauditberichten" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0ad4d180b114f128c3363384351694a7bbe6a069" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<p>Hieronder vindt u een overzicht van de beveiligingsberichten die zijn -uitgegeven als direct resultaat van dit auditing project.</p> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Daarnaast zijn archieven beschikbaar van de beveiligingsberichten -uitgegeven in voorgaande jaren:</p> - -<ul> -<li><a href="/security/audit/2011">2011</a></li> -<li><a href="/security/audit/2009">2009</a></li> -<li><a href="/security/audit/2008">2008</a></li> -<li><a href="/security/audit/2007">2007</a></li> -<li><a href="/security/audit/2006">2006</a></li> -<li><a href="/security/audit/2005">2005</a></li> -<li><a href="/security/audit/2004">2004</a></li> -<li><a href="/security/audit/2003">2003</a></li> -<li><a href="/security/audit/2002">2002</a></li> -</ul> diff --git a/dutch/security/audit/auditing.wml b/dutch/security/audit/auditing.wml deleted file mode 100644 index b93ad6d59da..00000000000 --- a/dutch/security/audit/auditing.wml +++ /dev/null @@ -1,159 +0,0 @@ -#use wml::debian::template title="Een audit uitvoeren" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0c51b8ff34c17868bd2f86ac91fef7abc581e1e9" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - - -<p>Deze pagina geeft een eerste overzicht van de noodzakelijke stappen voor het -uitvoeren van een audit van een pakket.</p> - -<p>De eerste stap is het kiezen van een pakket om te onderzoeken, bij voorkeur -één dat kritisch is voor de beveiliging.</p> - -<p>Zie <a href="$(HOME)/security/audit/packages">de lijst van pakketten die wij -het meest belangrijkst vinden voor een audit</a> voor suggesties.</p> - -<p>Eén ding dat duidelijk moet zijn is dat we <em>niet</em> proberen te verzekeren -dat een pakket slechts één keer wordt geaudit. Als veel mensen kiezen om -hetzelfde pakket te onderzoeken is dit goed, want het toont aan dat veel mensen -denken dat het pakket beveiligingsgevoelig is.</p> - -<p>Door in essentie een willekeurige selectie van pakketten toe te laten, -vergemakkelijken we de coördinatie en we elimineren het probleem van <q>hoe kan -ik er op vertrouwen dat persoon X zijn werk goed doet?</q> (Dit is niet nodig -omdat wordt verondersteld dat vroeg of laat iemand anders ervoor zal kiezen -hetzelfde pakket te onderzoeken).</p> - -<h2>De audit starten</h2> - -<p>Na uw pakketselectie te hebben gemaakt, moet u echt starten met de audit.</p> - -<p>Als u niet zeker bent van het soort problemen waarnaar u zoekt, start dan -met het lezen van een boek over hoe veilige software te ontwikkelen.</p> - -<p>De <a href="http://www.dwheeler.com/secure-programs">Secure -Programming for Linux and Unix HOWTO</a> heeft een heleboel goede informatie -die u kan helpen. -<a href="http://www.securecoding.org/">Secure Coding: Principles & Practices</a> -door Mark G. Graff en Kenneth R. van Wyk is ook een uitstekend boek.</p> - -<p>Hoewel programma's niet perfect zijn, kunnen ze ontzettend veel helpen bij -het vinden van mogelijke zwaktes, zie <a href="tools">de audithulpmiddelenpagina</a> -voor meer informatie over enkele beschikbare audithulpmiddelen en hoe ze worden -gebruikt.</p> - -<p>Naast het kijken naar de code zelf is het een goed idee om de documentatie -van het pakket te lezen en het pakket te proberen installeren en gebruiken.</p> - -<p>Dit laat u misschien toe om manieren te bedenken om het programma te -misbruiken in haar typische operatie.</p> - -<h2>Problemen rapporteren</h2> - -<p>Als u een probleem ontdekt in het pakket dat u aan het onderzoeken bent, dan -kan u dit best rapporteren. Wanneer u een beveiligingsprobleem rapporteert, -probeer er dan ook een patch aan te bieden zodat de ontwikkelaars het op tijd -kunnen verhelpen. Het is niet nodig van een aanvalsvoorbeeld (veelal -<em>exploit</em> of <em>proof of concept</em> genoemd) aan te bieden omdat de -patch voor zichzelf zou moeten spreken. Het is meestal beter om tijd te -investeren in het aanbieden van een geschikte patch, dan om een succesvolle -aanval op de bug aan te bieden.</p> - -<p>Hier is een lijst van te ondernemen stappen nadat u een beveiligingssprobleem -heeft gevonden in Debian:</p> - -<ol> - -<li>Probeer een patch aan te maken voor de bug of verkrijg voldoende informatie -zodat anderen het bestaan van het probleem kunnen nagaan. Idealiter zou elk -rapport een oplossing moeten bieden ,voor het probleem dat u hebt ontdekt, die -is getest en waarvoor is geverifieerd dat ze het probleem werkelijk oplost. - -<p>Hoe gedetailleerder u bent over de omvang van het probleem, het relatieve -belang van het probleem en mogelijke pistes om het probleem te omzeilen, hoe -beter, als u geen oplossing hebt.</p></li> - -<li>Kijk eerst na of het beveiligingsprobleem aanwezig is in de stable Debian -release en of het aanwezig is in andere distributies of in de versie aangeboden -door de upstream beheerders.</li> - -<li>Gebaseerd op bovenstaand nazicht, rapporteert u het probleem: - -<ul> - -<li>naar de upstream beheerders via hun beveiligingscontact, geef de analyse -en de patch.</li> - -<li>naar het Debian Security Team als de fout aanwezig is is een gereleasde -Debian-versie. Het Debian Security Team zal typisch een -<a href="$(HOME)/security/cve-compatibility">CVE-naam</a> toewijzen aan het -beveiligingsprobleem. Het beveiligingsteam zal met andere Linux-distributies -coördineren indien nodig en zal contact opnemen met de pakketbeheerder in uw -naam. U kunt echter ook een kopie van de e-mail versturen naar de -pakketbeheerder. Doe dit echter enkel voor beveiligingsproblemen met een laag -risico (zie verder).</li> - -<li>Als het probleem zich niet voordoet in een gereleasde Debian-versie en de -applicatie is misschien opgenomen in andere distributies of besturingssystemen, -stuur dan een e-mail naar -<a href="http://oss-security.openwall.org/wiki/mailing-lists/oss-security">oss- -security</a> -(een openbare mailinglijst waarop men rapporteert en discussieert over -beveiligingsproblemen die publiekelijk bekend gemaakt werden). U hoeft dit niet te doen -wanneer u het probleem al hebt doorgestuurd naar de Debian Security Team want -zij zullen het ook naar deze lijst doorsturen.</li> - -<li>Als het probleem zich <strong>niet</strong> voordoet in een gereleasde -Debian-versie en u bent er absoluut zeker van dat de applicatie -<strong>niet</strong> is opgenomen in een andere distributie of -besturingssysteem, rapporteer het dan met het Bug Tracking Systeem.</li> - -</ul></li> - -<li>Eens het probleem publiek is (wanneer het Debian Security Team of een andere -distributie een beveiligingsbericht heeft uitgebracht), dient er een bug met alle -relevante informatie worden geöpend in het Debian Bug Tracking Systeem om het -beveiligingsprobleem te kunnen traceren in niet-gereleasde Debian-versies -(<em>sid</em> en <em>testing</em>). Dit wordt gewoonlijk door het Security Team -zelf gedaan. Als u denkt dat ze er één vergaten of u bent niet aan het Security -Team aan het rapporteren, dan kunt u het zelf rapporteren. Zorg ervoor dat de -bug de gepaste tags heeft (gebruik de <em>security</em>-tag) en geef ze de -gepaste prioriteit (gewoonlijk <em>grave</em> of hoger). Zorg er ook voor dat de -bugtitel de gepaste <a href="$(HOME)/security/cve-compatibility">CVE name</a> -bevat, als er één is toegewezen. Dit zorgt ervoor dat beveiligingsproblemen niet -vergeten worden en dat ze opgelost worden in de gereleasde en niet-gereleasde -Debian-versies.</li> - -<li>Als u dat wenst, dan kunt u deze informatie, eens ze publiek is, doorsturen -naar publieke full disclosure mailinglijsten zoals -<a href="https://lists.grok.org.uk/mailman/listinfo/full-disclosure">full- -disclosure</a> -of <a href="http://www.securityfocus.com/archive/1">Bugtraq</a>.</li> - -</ol> - -<p>Merk op dat deze stappen kunnen afhangen van het risico dat geassocieerd is -met het gevonden beveiligingsprobleem. U moet het risico bepalen via: - -<ul> -<li>lokaal beveiligingsprobleem of op het netwerk</li> -<li>de gevolgen als het beveiligingsprobleem wordt uitgebuit</li> -<li>veelgebruikte software aangetast door het probleem</li> -</ul> - -<p>Er moeten verschillende stappen worden gezet om bijvoorbeeld een lokale -symbolische koppelingsaanval te rapporteren die enkel kan gebruikt worden -door geauthenticeerde gebruikers en die enkel het systeem kan beschadigen, dan -om een bufferoverloop op het netwerk die beheersprivileges verschaft en -aanwezig is in veelgebruikte software te rapporteren.</p> - -<p>In de meeste gevallen, omdat beveiligingsproblemen niet mogen vrijgegeven -worden vooraleer ze zijn opgelost, rapporteert u ze <em>niet</em> via het -standaard <a href="https://bugs.debian.org/">Debian Bug Tracking Systeem</a>, -maar rapporteert u het probleem rechtstreeks naar het -<a href="$(HOME)/security/">the Security Team</a> die de release van een -bijgewerkt pakket zal verzorgen en het zal rapporteren in de BTS eens het is -opgelost.</p> - diff --git a/dutch/security/audit/examples/Makefile b/dutch/security/audit/examples/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/audit/examples/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/audit/examples/RATS.wml b/dutch/security/audit/examples/RATS.wml deleted file mode 100644 index fb482d5d088..00000000000 --- a/dutch/security/audit/examples/RATS.wml +++ /dev/null @@ -1,134 +0,0 @@ -#use wml::debian::template title="Geautomatiseerd Audit Voorbeeld: RATS" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<p><a href="https://packages.debian.org/rats">RATS</a> is een algemene scanner -voor detectie van potentiële beveiligingsproblemen in een aantal -programmeertalen.</p> - -<h2>RATS uitvoeren</h2> -<p>RATS uitvoeren is gewoon een kwestie van het commando op te geven met een te -behandelen map. Elk van de herkende broncodebestanden die het vindt, zal worden -behandeld. RATS begrijpt verschillende programmeertalen: C, Perl, PHP en Python -en zal elk van hen behandelen als geldige broncode om te onderzoeken.</p> -<p>Er zijn verschillende opties die kunnen meegegeven worden naast een te -scannen map, deze worden beschreven in de manpagina.</p> -<p>De nuttigste opties zijn deze die de uitvoer aangaan, zoals:</p> -<ul> -<li>--warning <niveau> (Zet het niveau van de lekken waarover moet gerapporteerd worden) -<ul> -<li>1 geeft enkel standaard en hoge belangrijkheid.</li> -<li>2 geeft medium belangrijkheid (standaard niveau).</li> -<li>3 geeft lage belangrijkheid.</li> -</ul></li> -<li>--xml (uitvoer in XML)</li> -<li>--html (uitvoer in HTML)</li> -</ul> -<p>Er van uitgaande dat het <a href="test.c.html">testbestand</a> in de -huidige map is, zonder andere broncodebestanden, kunnen we de scanner oproepen -met het volgende commando:</p> -<pre> -rats --warning 1 --html . >output.html -</pre> -<p>Dit zal een HTML-bestand aanmaken die de resultaten van de scan bevat, het -kan ingeladen worden door een browser.</p> - -<h2>De Resultaten</h2> -<p>RATS uitvoeren tegen onze <a href="test.c.html">voorbeeldcode</a> geeft -volgende uitvoer:</p> -<hr /> -<div class="sampleblock"> -<h3>Severity: High</h3> -<p>Issue: fixed size global buffer</p> -<p> - Extra care should be taken to ensure that character arrays that are - allocated on the stack are used safely. They are prime targets for - buffer overflow attacks. -</p> -<p> -File: <b>test.c</b><br> -Lines: 10 11 12 -</p> - -<h3>Severity: High</h3> -<p>Issue: strcpy</p> -<p> - Check to be sure that argument 2 passed to this function call will not - copy more data than can be handled, resulting in a buffer overflow. - </p> -<p> -File: <b>test.c</b><br> -Lines: 18 -</p> - -<h3>Severity: High</h3> -<p>Issue: getenv</p> -<p>Environment variables are highly untrustable input. They may be of any length, and contain any data. Do not make any assumptions regarding content or length. If at all possible avoid using them, and if it is necessary, sanitize them and truncate them to a reasonable length. - </p> -<p> -File: <b>test.c</b><br> -Lines: 22 24 </p> - -<h3>Severity: High</h3> -<p>Issue: sprintf</p> -<p> - Check to be sure that the format string passed as argument 2 to this - function call does not come from an untrusted source that could have added - formatting characters that the code is not prepared to handle. - Additionally, the format string could contain `%s' without precision that - could result in a buffer overflow. -</p> -<p> -File: <b>test.c</b><br> -Lines: 24 </p> - -<h3>Severity: High</h3> -<p>Issue: popen</p> -<p> - Argument 1 to this function call should be checked to ensure that it does - not come from an untrusted source without first verifying that it contains - nothing dangerous. -</p> -<p> -File: <b>test.c</b><br> -Lines: 33 </p> - -<h3>Severity: High</h3> -<p> Issue: printf</p> -<p> - Check to be sure that the non-constant format string passed as argument 1 - to this function call does not come from an untrusted source that could - have added formatting characters that the code is not prepared to handle. -</p> -<p> -File: <b>test.c</b><br> -Lines: 42 </p> -<p> -Total lines analyzed: <b>49</b><br> -Total time <b>0.000288</b> seconds<br> -<b>170138</b> lines per second</p> -</div> -<hr /> -<p>Deze uitvoer is nogal lijvig, ondanks dat de code zelf vrij kort is - dit -toont één van de nadelen van geautomatiseerd scannen: het grote volume aan -uitvoer.</p> - -<h2>De uitvoer begrijpen</h2> -<p>De geproduceerde uitvoer is een beschrijving van de functies die werden -tegengekomen, de regelnummer waarop het lek werd gedetecteerd en een -beschrijving van het probleem. (Omdat we het "--warning"-niveau gebruikten om -de uitvoer te beperken tot de "hoge" niveau functies, hebben we de uitvoer wat -gereduceerd).</p> -<p>Elk van de gevonden problemen moet handmatig worden onderzocht om te zien of -er iets echt mis mee is, of om te zien dat het een valse positieve is (v.b. een -functie die kan misbruikt worden die correct wordt gebruikt).</p> -<p>In dit geval kunnen we zien dat alle lekken in onze code zijn opgemerkt, -maar het is niet helemaal duidelijk zonder door de code te lopen met een editor -en de regels te matchen.</p> -<p>Een sterke zwakte is dat de uitvoer niet toont over welke regels -gerapporteerd wordt - iets dat <a href="flawfinder">flawfinder</a> wel toestaat.</p> -<hr /> -<p><a href="..">Terug naar het auditproject</a> | <a href="index">Terug naar de auditvoorbeeldenpagina</a></p> diff --git a/dutch/security/audit/examples/flawfinder.wml b/dutch/security/audit/examples/flawfinder.wml deleted file mode 100644 index c2be787a444..00000000000 --- a/dutch/security/audit/examples/flawfinder.wml +++ /dev/null @@ -1,101 +0,0 @@ -#use wml::debian::template title="Geautomatiseerd auditvoorbeeld: flawfinder" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<p><a href="https://packages.debian.org/flawfinder">flawfinder</a> is een -algemene scanner voor het vinden en rapporteren van potentiële lekken in C- en -C++-broncode.</p> - - -<h2>flawfinder uitvoeren</h2> -<p>flawfinder uitvoeren is gewoon een kwestie van het commando op te geven met -de map- of bestandsnamen om te onderzoeken. Als een mapnaam wordt opgegeven, -dan zal het alle geldige broncodebestanden die het vindt in de map behandelen.</p> -<p>Naast een lijst van bestanden of mappen, kunnen er ook verschillende opties -worden meegegeven om het gedrag van de hulpmiddelen te sturen.</p> -<p>Elke optie wordt uitgelegd in de manpagina, maar de volgende opties zijn -bijzonder nuttig en zullen worden gebruikt in ons voorbeeld:</p> -<ul> -<li>--minlevel=X -<ul> -<li>Zet minimum risiconiveau op X voor inclusie in de uitvoer. Bereiken van 1-5, -met 1 "laag risico" en 5 "hoog risico".</li> -</ul></li> -<li>--html -<ul> -<li>Formatteer de uitvoer als HTML in plaats van gewone tekst</li> -</ul></li> -<li>--context -<ul> -<li>Toon context, v.b., de regel met het potentiële lek.</li> -</ul></li> -</ul> - -<p>Om als uitvoer een HTML-bestand te krijgen die de resultaten van ons -programma bevat en enkel rekening houdend met de "hoge risico" functies zouden -we het volgende uitvoeren:</p> -<pre> -flawfinder --html --context --minlevel=4 test.c > output.html -</pre> - -<h2>De Resultaten</h2> -<p>flawfinder uitvoeren tegen onze <a href="test.c.html">voorbeeldcode</a> -geeft volgende uitvoer:</p> - -<hr /> -<div class="sampleblock"> -<p> -Examining test.c <br> -<ul> -<li>test.c:18: <b> [4] </b> (buffer) <i> strcpy: - Does not check for buffer overflows when copying to destination. - Consider using strncpy or strlcpy (warning, strncpy is easily misused). </i> -<pre> - strcpy( dir, argv[ 1 ] ); -</pre> -<li>test.c:24: <b> [4] </b> (buffer) <i> sprintf: - Does not check for buffer overflows. Use snprintf or vsnprintf. </i> - -<pre> - sprintf( dir, "%s", getenv( "HOME" ) ); -</pre> -<li>test.c:33: <b> [4] </b> (shell) <i> popen: - This causes a new program to execute and is difficult to use safely. - try using a library call that implements the same functionality if - available. </i> -<pre> - fp = popen( cmd, "r" ); -</pre> -<li>test.c:42: <b> [4] </b> (format) <i> printf: - If format strings can be influenced by an attacker, they can be - exploited. Use a constant for the format specification. </i> - -<pre> - printf( buff ); -</pre> -</ul> -<p> -Number of hits = 4 -<br> -Number of Lines Analyzed = 48 in 0.53 seconds (1392 lines/second) -<br> -</div> -<hr /> - -<h2>De uitvoer begrijpen</h2> -<p>Zoals de uitvoer van <a href="RATS">RATS</a> is dit rapport zeer gemakkelijk -te lezen. Het toont duidelijk de functies die gedetecteerd zijn als potentieel -gevaarlijk met een beschrijving van het probleem.</p> -<p>Contextinformatie laten zien is ook zeer nuttig omdat het onmiddellijk -de aandacht kan trekken op de belangrijke gebieden of andere rapporten afwijzen -omdat ze ongeldig zijn.</p> -<p>De analyse van <a href="test.c">onze voorbeeldcode</a> is tamelijk -intelligent, in de zin dat het niet waarschuwt bij <i>elk</i> gebruik van de -lastige <tt>strcpy</tt>-functie - enkel bij diegene die het gevaarlijk acht.</p> -<p>Op deze manier is het geslaagd om alle mogelijke lekken te tonen zonder -valse positieven.</p> -<hr /> -<p><a href="..">Terug naar het auditproject</a> | <a href="index">Terug naar de auditvoorbeeldenpagina</a></p> diff --git a/dutch/security/audit/examples/index.wml b/dutch/security/audit/examples/index.wml deleted file mode 100644 index 95510ede112..00000000000 --- a/dutch/security/audit/examples/index.wml +++ /dev/null @@ -1,25 +0,0 @@ -#use wml::debian::template title="Geautomatiseerde Auditvoorbeelden" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="6097aaeb789f09a86133073acab93480df51405c" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<p>Zoals de <a href="../tools">audithulpmiddelenpagina</a> uitlegt, zijn er -verschillende pakketten beschikbaar in het Debian-archief die kunnen worden -gebruikt om een automatische audit uit te voeren op broncode.</p> - - -<h2>Auditvoorbeelden</h2> -<p>Elk van de volgende hulpmiddelen is getest met hetzelfde stuk -<a href="test.c.html">code met bugs</a>. Dit laat toe om de uitvoer van de -hulpmiddelen rechtstreeks met elkaar te vergelijken.</p> -<p>De code is geanalyseerd met drie hulpmiddelen:</p> -<ul> -<li><a href="flawfinder">flawfinder</a></li> -<li><a href="RATS">RATS</a></li> -<li><a href="pscan">pscan</a></li> -</ul> -<hr /> -<p><a href="..">Terug naar het auditproject</a></p> - diff --git a/dutch/security/audit/examples/pscan.wml b/dutch/security/audit/examples/pscan.wml deleted file mode 100644 index 73cc0a16238..00000000000 --- a/dutch/security/audit/examples/pscan.wml +++ /dev/null @@ -1,52 +0,0 @@ -#use wml::debian::template title="Geautomatiseerd Audit Voorbeeld: pscan" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<p><a href="https://packages.debian.org/pscan">pscan</a> is een pakket dat is -ontworpen om C- en C++-broncodebestanden aan een formaatstringaudit te -onderwerpen.</p> -<p>Het is geen algemeen audithulpmiddel.</p> - -<h2>pscan uitvoeren</h2> -<p>pscan uitvoeren is gewoon een kwestie van het op te geven met de -bestandsnaam of -namen om te controleren. Bijvoorbeeld:</p> -<pre> -pscan <a href="test.c.html">test.c</a> -</pre> -<p>De uitvoer zal rechtstreeks naar de console worden uitgeschreven:</p> -<hr /> -<samp> -test.c:42 SECURITY: printf call should have "%s" as argument 0 -</samp> -<hr /> - -<h2>De Uitvoer</h2> -<p>De uitvoer is in dit geval gemakkelijk te begrijpen. Het heeft het feit dat -de <tt>printf</tt>-aanroep haar argumenten niet op de juiste manier "quote", -correct geïdentificeerd.</p> -<p>De uitvoer toont ons ook wat we moeten doen om het op te lossen, wijzig de -code: -<pre> -printf( buff ); -</pre> -<p>naar:</p> -<pre> -printf( "%s", buff ); -</pre> -<p>Dit niet doen, kan een aanvaller die de uitvoer van <tt>ls</tt> kan -controleren, toelaten om het programma aan te vallen, door een bestand genaamd -"%s", of gelijkaardig aan te maken.</p> -<p>Formaatstring-aanvallen worden bediscussieerd in deze -<a href="http://www.securityfocus.com/guest/3342">Security Focus introduction</a>.</p> -<p>De <a href="http://www.dwheeler.com/secure-programs/">Secure Programming for Linux and Unix HOWTO</a> legt u uit hoe u zich kunt beschermen tegen deze -aanvallen in veel gebruikte variadische functies zoals:</p> -<ul> -<li>printf</li> -<li>fprintf</li> -<li>syslog</li> -</ul> -<hr /> -<p><a href="..">Terug naar het auditproject</a> | <a href="index">Terug naar de auditvoorbeeldenpagina</a></p> diff --git a/dutch/security/audit/index.wml b/dutch/security/audit/index.wml deleted file mode 100644 index 8b48a6f212e..00000000000 --- a/dutch/security/audit/index.wml +++ /dev/null @@ -1,49 +0,0 @@ -#use wml::debian::template title="Debian Beveiligingsauditproject" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="57f73cd8cc7f0c94f280e3444c075d201e8d42a8" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<p>Het Debian Security Audit Project is een project dat zich bezighoudt met de -audit van Debian-pakketten inzake beveiligingsproblemen.</p> - -<p>In de korte tijd dat het werkzaam is, is het verantwoordelijk voor meerdere -<a href="$(HOME)/security/">Debian Beveiligingsberichten (DSA's)</a>, dit bewijst -dat dit auditproces echt werkt om de beveiliging van Debian te verbeteren. -Hopelijk zullen er nog meer berichten komen van toekomstig werk.</p> - -<p>Door een proactieve standpuntinname door een audit van code kunnen we helpen -verzekeren dat Debian haar lange geschiedenis van het serieus nemen van beveiliging -blijft waarmaken.</p> - - -<h2>Audit bereik</h2> -<p>De doelstelling van het project is om zoveel mogelijk pakketten uit de -"stable" distributie aan een audit van potentiële problemen te onderwerpen. -Belangrijke pakketten uit de "unstable" distributie kunnen ook onderzocht -worden om de kans op onveilige pakketten die toetreden tot de "stable" -Debian-distributie te verkleinen.</p> - -<p>Door de grote omvang van de huidige Debian-distributie is het voor een klein -team onmogelijk om alle pakketten aan een audit te onderwerpen. Dus is er een -systeem van prioritaire pakketten die gevoeliger zijn voor beveiligingsproblemen.</p> - -<p>De <a href="packages">prioriteitsrichtlijnen</a> proberen te verzekeren dat -tijd wordt gespendeerd aan de audits van pakketten die belangrijk zijn en het -<a href="tools">audithulpmiddelenoverzicht</a> toont hoe sommige beschikbare -broncodescanners kunnen gebruikt worden om een audit te leiden.</p> - -<h2>Voorheen Uitgebrachte Adviezen</h2> - -<p>Voor elk pakket dat voor een beveiligingsprobleem kwetsbaar werd geacht, wordt -er een <a href="$(HOME)/security/">DSA</a> uitgebracht door het Debian -Beveiligingsteam.</p> - -<p>Ter referentie is er een <a href="advisories">overzicht van eerdere -beveiligingsberichten</a> die direct uit het auditproces zijn voortgekomen.</p> - -<h2>Verdere Informatie</h2> - -<p>Nadere informatie over het project kan gevonden worden in de <a href="faq">FAQ voor Beveiligingsaudit</a>.</p> - diff --git a/dutch/security/audit/maintainers.wml b/dutch/security/audit/maintainers.wml deleted file mode 100644 index ecef97af1c2..00000000000 --- a/dutch/security/audit/maintainers.wml +++ /dev/null @@ -1,52 +0,0 @@ -#use wml::debian::template title="Audit voor pakketbeheerders" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="534d1b782cfb92f46dc41fd064f779fffc329b12" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<p>Als u de beheerder bent van een pakket in het Debian-archief overweeg dan -om zelf de code te inspecteren.</p> - -<p>De aanwezigheid van <a href="tools">hulpmiddelen voor broncode-audit</a> -kunnen dit proces sterk vergemakkelijken, ook als u niet de tijd heeft om zelf -een grondige audit te doen, kunt u potentieel problematische stukken -vinden.</p> - -<p>Als u hulp nodig heeft, neem dan contact op met het <a -href="$(HOME)/security/#contact">Debian beveiligingsteam</a> of de (openbare) -<a href="https://lists.debian.org/debian-security">debian-security -mailinglijst</a> voor hulp over het uitvoeren van een broncode-audit.</p> - - -<h2>Hulpbronnen voor pakketbeheerders</h2> - -<p>Pakketbeheerders die broncode willen inspecteren zijn mogelijk -geïnteresseerd in het lezen van het Debconf6-artikel <a -href="https://people.debian.org/~jfs/debconf6/security/weeding_security_bugs.pdf">Weeding -out security bugs in Debian</a> (<a -href="https://people.debian.org/~jfs/debconf6/security/slides/weeding_security_bugs.slides.pdf">dia’s</a>) -of de aantekeningen <a -href="https://people.debian.org/~jfs/debconf6/security/common-problems.txt">Short, -practical overview on how to find a few common mistakes in programs written in -various languages</a> (beide documenten zijn geschreven door leden van het -audit-project).</p> - -<p>Het artikel <q>Weeding out security bugs in Debian</q> is gepresenteerd op -Debconf6 in Mexico en was onderdeel van een workshop. Voor beheerders die nog -geen ervaring met audits hebben kunnen <a -href="https://people.debian.org/~jfs/debconf6/security/samples/">de -voorbeeldcode</a> en de <a -href="http://meetings-archive.debian.net/pub/debian-meetings/2006/debconf6/">videos -van de workshop</a> nuttig zijn.</p> - -<h2>Niewe versies</h2> - -<p>U moet als verantwoorde beheerder een oog houden op nieuwe versies van uw -pakket. Als de changelog het heeft over beveiligingsproblemen, dan moet u -trachten te achterhalen of u een kwetsbare versie heeft in de stabiele -distributie.</p> - -<p>Als u een kwetsbare versie heeft in de stabiele distributie, neem dan -contact op met het beveiligingsteam - zoals beschreven in de <a -href="$(HOME)/security/faq">beveiligingsteam FAQ</a>.</p> diff --git a/dutch/security/audit/packages.wml b/dutch/security/audit/packages.wml deleted file mode 100644 index f734732ffea..00000000000 --- a/dutch/security/audit/packages.wml +++ /dev/null @@ -1,97 +0,0 @@ -#use wml::debian::template title="Pakketprioriteitsrichtlijnen voor de Audit" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="8536cf419447d00f034a8e3ad9efa6a243462fe7" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<p>Beslissen welke pakketten moeten onderzocht worden is één van de eerste -problemen bij het uitvoeren van een audit op de Debian-distributie.</p> - -<p>Het zou ideaal zijn, mochten alle pakketten onderzocht worden, maar door de -grote omvang van het archief, is er nood aan een eenvoudige manier om een -prioriteit toe te kennen aan het werk.</p> - -<p>Als een aantal eenvoudige richtlijnen, zijn de volgende pakketten het -waard om als eerste te worden onderzocht:</p> - -<ol> -<li>Elk binair bestand dat wordt geïnstalleerd met de setuid- of de setgid-vlag gezet.</li> - -<li>Alles wat een netwerkdienst aanbiedt.</li> - -<li>Elk vanbuiten uit toegankelijk CGI/PHP-script.</li> - -<li>Alles wat een cronjob of een ander automatisch script bevat met beheerdersprivileges.</li> - -</ol> - -<p>Populaire pakketten hebben normaal een hogere prioriteit, aangezien elk -probleem met ze een groter aantal gebruikers zal bereiken.</p> - -<p>De <a href="https://popcon.debian.org/">Debian Populariteit Wedstrijd</a> -houdt een dynamische lijst bij van welke pakketten het populairst zijn onder -te vrijwilligers die deelnemen.</p> - -<p>Bekijk in het bijzonder de <a href="https://popcon.debian.org/by_vote"> -pakketten gesorteerd volgens stemmen</a>. Dit rangschikt de pakketten naar het -aantal keer dat ze gebruikt worden door de mensen die deelnemen.</p> - -<p>Als een pakket belangrijk is voor de beveiliging, vooral als het voldoet aan -één van bovenstaande criteria en het is populair, dan is het <em>zeker</em> een -kandidaat voor inspectie.</p> - -<h2>Binaire bestanden met de <tt>setuid</tt>- of <tt>setgid</tt>-vlag gezet</h2> - -<p>Binaire bestanden met de <tt>setuid</tt>- of <tt>setgid</tt>-vlag gezet, -zijn de traditionele doelen van beveiligingsaudits omdat een beveiligingslek -in een binair bestand met deze permissies kan leiden tot een lokale gebruiker -die priviliges verkrijgt die hij anders niet zou mogen hebben.</p> - -<p>Om de zoektocht te helpen is er een lijst van alle binaire bestanden met -de setuid- of setgid-vlag gezet in de huidige stabiele distributie.</p> - -<ul> - -<li><a href="https://lintian.debian.org/tags/setuid-binary.html">Lintian-verslag -van setuid binaire bestanden in Debian</a></li> - -<li><a href="https://lintian.debian.org/tags/setgid-binary.html">Lintian-verslag -van setgid binaire bestanden in Debian</a></li> - -</ul> - -<p>Wanneer er tussen deze binaire bestanden gekozen moet worden, is het -belangrijk om te onthouden dat sommige binaire bestanden gevoeliger zijn voor -beveiligingsproblemen dan andere. Binaire bestanden met de setuid(root)-vlag -gezet zouden bijvoorbeeld vóór die met de setgid(games)- of setuid(bugs)-vlag -moeten onderzocht worden.</p> - -<h2>Netwerkservers</h2> - -<p>Netwerkservers zijn een andere evidente inspiratiebron wanneer het aankomt -op het uitvoeren van een beveiligingsaudit omdat beveiligingslekken met hen -kunnen leiden tot aanvallen op andere machines.</p> - -<p>Beveiligingslekken op andere machines zijn gewoonlijk veel erger dan lokale.</p> - -<h2>Online Scripts</h2> - -<p>Online scripts, vooral CGI-scripts, behoren eigenlijk tot dezelfde klasse -als netwerkservers — hoewel uw webserver zelf veilig kan zijn, zijn de scripts -die erop uitvoeren even belangrijk.</p> - -<p>Een bug in een script dat beschikbaar is over het netwerk is even ernstig -als een bug in een server die luistert voor verbindingen — beide kunnen uw -machine even veel compromiteren.</p> - -<h2>Cronjobs en systeemdiensten</h2> - -<p>Terwijl er niet veel zijn, is het waard om de automatische scripts, cronjobs, -enz. binnen pakketten te bekijken.</p> - -<p>Veel ondersteunende dingen worden standaard als beheerder uitgevoerd om -logboekbestanden te verwijderen, enz.</p> - -<p>Een succesvolle uitvoering van een symbolische koppelingaanval kan resulteren -in een lokaal beveiligingslek.</p> diff --git a/dutch/security/audit/tools.wml b/dutch/security/audit/tools.wml deleted file mode 100644 index 7ace88a7ba7..00000000000 --- a/dutch/security/audit/tools.wml +++ /dev/null @@ -1,153 +0,0 @@ -#use wml::debian::template title="Hulpmiddelen voor de Beveiligingsaudit" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<p>Er zijn verschillende pakketten beschikbaar in het Debian-archief die zijn -ontworpen om met beveiligingsaudits te helpen. Dit zijn onder andere:</p> - -<ul> -<li><a href="https://packages.debian.org/flawfinder">Flawfinder</a> -<ul> -<li><a href="examples/flawfinder">Voorbeeld flawfinder-gebruik</a></li> -</ul></li> -<li><a href="http://archive.debian.net/woody/its4">ITS4</a> -<ul> -<li>Er is geen voorbeeld voor ITS4 omdat het verwijderd is uit de onstabiele -distributie.</li> -</ul></li> -<li><a href="https://packages.debian.org/rats">RATS</a> -<ul> -<li><a href="examples/RATS">Voorbeeld RATS-gebruik</a></li> -</ul></li> -<li><a href="https://packages.debian.org/pscan">pscan</a> -<ul> -<li><a href="examples/pscan">Voorbeeld pscan-gebruik</a></li> -</ul></li> -</ul> - -<p>Merk op dat er ook andere hulpmiddelen zijn specifiek voor een bepaalde -verzameling van beveiligingslekken die misschien niet in een Debian-pakket te -vinden zijn, maar ze kunnen nuttig zijn voor een auditor. Deze omvatten:</p> - -<ul> - <li>Hulpmiddelen specifiek voor XSS-fouten: - <ul> - <li><a href="http://freecode.com/projects/xsslint/">Xsslint</a></li> - <li><a href="http://www.devitry.com/screamingCSS.html">ScreamingCSS</a></li> - </ul> - </li> - <li>Hulpmiddelen voor het testen van webbrowsers: - <ul> - <li><a href="http://www.securityfocus.com/archive/1/378632">MangleMe</a></li> - </ul> - </li> -</ul> - -<p>Geen enkel hulpmiddel is perfect en ze kunnen enkel gebruikt worden als -richtlijnen voor verdere studie, maar omdat ze eenvoudig zijn in gebruik, is -het waard ze eens uit te proberen.</p> - -<p>Elk hulpmiddel heeft andere sterktes en zwaktes, dus is het aangeraden meer -dan één te gebruiken.</p> - - -<h2>Flawfinder</h2> - -<p>flawfinder is een Python-hulpmiddel dat is ontworpen om C- en C++-broncode -te inspecteren naar potentiële beveiligingslekken.</p> - -<p>Wanneer uitgevoerd tegen een map die broncode bevat, zal het een rapport -geven van de potentiële problemen die het heeft gedetecteerd, gesorteerd naar -risico (waar <i>risico</i> een getal 1–5 is). Om kleine risico’s niet te laten -zien, kunt u het programma problemen onder een bepaald risiconiveau laten -negeren. Standaard is de uitvoer in platte tekst, maar er is ook een -HTML-rapport beschikbaar.</p> - -<p>Het programma werkt door het scannen van de code en het bekijken van het -gebruik van functies die zich in haar databank bevinden als functies die vaak -verkeerd worden gebruikt.</p> - -<p>Om het lezen van het rapport te vergemakkelijken, is het mogelijk om het -rapport de regel waarop de functie wordt gebruikt te laten weergeven, dit kan -nuttig zijn om onmiddellijk te detecteren of er al dan niet een probleem -is.</p> - -<p>U kunt een voorbeeld van het gebruik van flawfinder en haar uitvoer bekijken -in de <a href="examples/">auditvoorbeeldensectie</a>.</p> - -<h2>ITS4</h2> - -<p>ITS4 is een hulpmiddel in de non-free sectie van het Debian-archief, het is -enkel beschikbaar in de <q>woody</q> distributie.</p> - -<p>ITS4 kan gebruikt worden om C- and C++-code te scannen voor potentiële -beveiligingslekken, ongeveer zoals flawfinder.</p> - -<p>De gegenereerde uitvoer probeert intelligent te zijn door sommige gevallen -waar de gevaarlijke functies voorzichtig zijn aangeroepen, te negeren.</p> - - -<h2>RATS</h2> - -<p>RATS is een vergelijkbaar hulpmiddel met de uitzondering dat het -ondersteuning biedt voor een veel groter bereik van talen. Momenteel heeft het -ondersteuning voor C, C++, Perl, PHP en Python.</p> - -<p>Het hulpmiddel gebruikt een eenvoudig XML-bestand om haar beveiligingslekken -in te lezen wat het één van de gemakkelijkst aan te passen hulpmiddelen is. -Nieuwe functies kunnen gemakkelijk toegevoegd worden voor elk van de -ondersteunde talen.</p> - -<p>U kunt een voorbeeld van het gebruik van RATS en haar uitvoer bekijken in de -<a href="examples/">auditvoorbeeldensectie</a>.</p> - - -<h2>pscan</h2> - -<p>pscan verschilt van de vorige hulpmiddelen omdat het helemaal geen scanner -is voor algemeen gebruik. In plaats daarvan is het specifiek gericht op het -detecteren van formaatstring-bugs.</p> - -<p>Het hulpmiddelen zal proberen potentiële problemen te vinden door het -gebruik van variadische functies in C- en C++-broncode, zoals <tt>printf</tt>, -<tt>fprintf</tt> en <tt>syslog</tt>.</p> - -<p>Formaatstring-bugs zijn nogal gemakkelijk op te sporen en te herstellen, -hoewel ze de recentste nieuwe klasse van softwareaanvallen zijn, is de -meerderheid van hun waarschijnlijk al gevonden en hersteld.</p> - -<p>U kunt een voorbeeld van het gebruik van pscan en haar uitvoer bekijken in -de <a href="examples/">auditvoorbeeldensectie</a>.</p> - - -<h2>Scanneruitvoer Begrijpen</h2> - -<p>Alle algemene scanhulpmiddelen zullen uitvoer genereren die beschrijft welke -problemen werden gedetecteerd en misschien advies geven om ze op te lossen.</p> - -<p>Bijvoorbeeld is het volgende genomen uit de uitvoer van RATS wat de gevaren -van <tt>getenv</tt> beschrijft:</p> - -<blockquote><p>Omgevingsvariabelen zijn weinig betrouwbare invoer. Ze kunnen -van om het even welke lengte zijn en kunnen om het even welke data bevatten. -Maak geen veronderstellingen inzake inhoud of lengte. Als het enigzins mogelijk -is, probeer ze dan te vermijden en als het gebruik noodzakelijk is, kuis ze dan -en kap ze af op een redelijke lengte.</p></blockquote> - -<p>Als u meer advies nodig heeft bij het herstellen van een lek dat werd -gerapporteerd zou u een boek over veilig programmeren moeten bestuderen, zoals -de <a href="http://www.dwheeler.com/secure-programs/">Secure Programming for -Linux and Unix HOWTO</a> by David A. Wheeler.</p> - -<p>(Onthoudt dat wanneer u beveiligingsproblemen rapporteert, een patch die het -lek repareert zeer op prijs wordt gesteld.)</p> - -<p>Discussie in verband met het bijwerken van een bepaald stuk problematische -code kan ook op de <a -href="https://lists.debian.org/debian-security/">debian-security -mailinglijst</a> gehouden worden. Zorg er dan wel voor dat het niet duidelijk -wordt over welk programma het gaat, aangezien dit een openbare mailinglijst is -met openbare archieven.</p> diff --git a/english/intro/help.wml b/english/intro/help.wml index d8ba73304f2..8a86e40eb2e 100644 --- a/english/intro/help.wml +++ b/english/intro/help.wml @@ -40,7 +40,7 @@ a look at this list for some ideas on how to get started:</p> <ul> <li>Package applications, for example those you have experience with or consider valuable for Debian. For more information on how to become a package maintainer, visit the <a href="$(HOME)/devel/">Debian Developer's Corner</a>.</li> <li>Help to maintain existing applications, for example by contributing fixes (patches) or additional information in the <a href="https://bugs.debian.org/">Bug Tracking System</a>. Alternatively, you can join a group maintenance team or join a software project on <a href="https://salsa.debian.org/">Salsa</a> (our own GitLab instance).</li> - <li>Assist us by <a href="https://security-tracker.debian.org/tracker/data/report">tracking</a>, <a href="$(HOME)/security/audit/">finding</a>, and <a href="$(DOC)/manuals/developers-reference/pkgs.html#bug-security">fixing</a> <a href="$(HOME)/security/">security issues</a> in Debian.</li> + <li>Assist us by <a href="https://security-tracker.debian.org/tracker/data/report">tracking</a> and <a href="$(DOC)/manuals/developers-reference/pkgs.html#bug-security">fixing</a> <a href="$(HOME)/security/">security issues</a> in Debian.</li> <li>You can also help with the hardening of <a href="https://wiki.debian.org/Hardening">packages</a>, <a href="https://wiki.debian.org/Hardening/RepoAndImages">repositories and images</a>, and <a href="https://wiki.debian.org/Hardening/Goals">other components</a>.</li> <li>Interested in <a href="$(HOME)/ports/">porting</a> Debian to some architecture you are familiar with? You can start a new port or contribute to an existing one. </li> <li>Help us to improve Debian-related <a href="https://wiki.debian.org/Services">services</a> or create and maintain new ones, <a href="https://wiki.debian.org/Services#wishlist">suggested or requested</a> by the community.</li> diff --git a/english/security/Makefile b/english/security/Makefile index 0ead12c5ad7..cbf274227c6 100644 --- a/english/security/Makefile +++ b/english/security/Makefile @@ -3,7 +3,7 @@ WMLBASE=.. CUR_DIR=security -SUBS=undated $(sort $(wildcard [12][0-9][0-9][0-9])) audit oval key-rollover 2020-GRUB-UEFI-SecureBoot 2021-GRUB-UEFI-SecureBoot +SUBS=undated $(sort $(wildcard [12][0-9][0-9][0-9])) oval key-rollover 2020-GRUB-UEFI-SecureBoot 2021-GRUB-UEFI-SecureBoot # TODO: Check that 'oval' works now that RT #160 (rt.debian.org) has been closed GETTEXTFILES += security.mo diff --git a/english/security/audit/2002/Makefile b/english/security/audit/2002/Makefile deleted file mode 100644 index a0280abb7b2..00000000000 --- a/english/security/audit/2002/Makefile +++ /dev/null @@ -1,16 +0,0 @@ -# If this makefile is not generic enough to support a translation, -# please contact debian-www. - -WMLBASE=../../.. -CUR_DIR=security/audit/2002 - -include $(WMLBASE)/Make.lang - -ifeq "$(LANGUAGE)" "en" -$(ENGLISHSRCDIR)/security/audit/data/2002.inc: $(ENGLISHSRCDIR)/security/audit/data/2002.data - $(ENGLISHSRCDIR)/security/audit/make-advisories $(ENGLISHSRCDIR)/security/audit/data -endif - -index.$(LANGUAGE).html: index.wml \ - $(ENGLISHSRCDIR)/security/audit/data/2002.inc \ - $(ENGLISHSRCDIR)/security/audit/data/2002.data diff --git a/english/security/audit/2002/index.wml b/english/security/audit/2002/index.wml deleted file mode 100644 index b562f7a3dc3..00000000000 --- a/english/security/audit/2002/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="Debian Security Audit Advisories from 2002" -#use wml::debian::recent_list - -<h2>Advisories Released in 2002</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p>Go back to <a href="..">the auditing project</a>, or to the <a href="../advisories">advisory lists</a>.</p> - diff --git a/english/security/audit/2003/Makefile b/english/security/audit/2003/Makefile deleted file mode 100644 index e50432cbb91..00000000000 --- a/english/security/audit/2003/Makefile +++ /dev/null @@ -1,16 +0,0 @@ -# If this makefile is not generic enough to support a translation, -# please contact debian-www. - -WMLBASE=../../.. -CUR_DIR=security/audit/2003 - -include $(WMLBASE)/Make.lang - -ifeq "$(LANGUAGE)" "en" -$(ENGLISHSRCDIR)/security/audit/data/2003.inc: $(ENGLISHSRCDIR)/security/audit/data/2003.data - $(ENGLISHSRCDIR)/security/audit/make-advisories $(ENGLISHSRCDIR)/security/audit/data -endif - -index.$(LANGUAGE).html: index.wml \ - $(ENGLISHSRCDIR)/security/audit/data/2003.inc \ - $(ENGLISHSRCDIR)/security/audit/data/2003.data diff --git a/english/security/audit/2003/index.wml b/english/security/audit/2003/index.wml deleted file mode 100644 index 979070ab0b5..00000000000 --- a/english/security/audit/2003/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="Debian Security Audit Advisories from 2003" -#use wml::debian::recent_list - -<h2>Advisories Released in 2003</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2003.inc" - -<p>Go back to <a href="..">the auditing project</a>, or to the <a href="../advisories">advisory lists</a>.</p> - diff --git a/english/security/audit/2004/Makefile b/english/security/audit/2004/Makefile deleted file mode 100644 index 3daec379eb7..00000000000 --- a/english/security/audit/2004/Makefile +++ /dev/null @@ -1,16 +0,0 @@ -# If this makefile is not generic enough to support a translation, -# please contact debian-www. - -WMLBASE=../../.. -CUR_DIR=security/audit/2004 - -include $(WMLBASE)/Make.lang - -ifeq "$(LANGUAGE)" "en" -$(ENGLISHSRCDIR)/security/audit/data/2004.inc: $(ENGLISHSRCDIR)/security/audit/data/2004.data - $(ENGLISHSRCDIR)/security/audit/make-advisories $(ENGLISHSRCDIR)/security/audit/data -endif - -index.$(LANGUAGE).html: index.wml \ - $(ENGLISHSRCDIR)/security/audit/data/2004.inc \ - $(ENGLISHSRCDIR)/security/audit/data/2004.data diff --git a/english/security/audit/2004/index.wml b/english/security/audit/2004/index.wml deleted file mode 100644 index 435be3a50de..00000000000 --- a/english/security/audit/2004/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="Debian Security Audit Advisories from 2004" -#use wml::debian::recent_list - -<h2>Advisories Released in 2004</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2004.inc" - -<p>Go back to <a href="..">the auditing project</a>, or to the <a href="../advisories">advisory lists</a>.</p> - diff --git a/english/security/audit/2005/Makefile b/english/security/audit/2005/Makefile deleted file mode 100644 index 6838dfcf579..00000000000 --- a/english/security/audit/2005/Makefile +++ /dev/null @@ -1,16 +0,0 @@ -# If this makefile is not generic enough to support a translation, -# please contact debian-www. - -WMLBASE=../../.. -CUR_DIR=security/audit/2005 - -include $(WMLBASE)/Make.lang - -ifeq "$(LANGUAGE)" "en" -$(ENGLISHSRCDIR)/security/audit/data/2005.inc: $(ENGLISHSRCDIR)/security/audit/data/2005.data - $(ENGLISHSRCDIR)/security/audit/make-advisories $(ENGLISHSRCDIR)/security/audit/data -endif - -index.$(LANGUAGE).html: index.wml \ - $(ENGLISHSRCDIR)/security/audit/data/2005.inc \ - $(ENGLISHSRCDIR)/security/audit/data/2005.data diff --git a/english/security/audit/2005/index.wml b/english/security/audit/2005/index.wml deleted file mode 100644 index ed861540dff..00000000000 --- a/english/security/audit/2005/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="Debian Security Audit Advisories from 2005" -#use wml::debian::recent_list - -<h2>Advisories Released in 2005</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2005.inc" - -<p>Go back to <a href="..">the auditing project</a>, or to the <a href="../advisories">advisory lists</a>.</p> - diff --git a/english/security/audit/2006/Makefile b/english/security/audit/2006/Makefile deleted file mode 100644 index aa06aeb421d..00000000000 --- a/english/security/audit/2006/Makefile +++ /dev/null @@ -1,16 +0,0 @@ -# If this makefile is not generic enough to support a translation, -# please contact debian-www. - -WMLBASE=../../.. -CUR_DIR=security/audit/2006 - -include $(WMLBASE)/Make.lang - -ifeq "$(LANGUAGE)" "en" -$(ENGLISHSRCDIR)/security/audit/data/2006.inc: $(ENGLISHSRCDIR)/security/audit/data/2006.data - $(ENGLISHSRCDIR)/security/audit/make-advisories $(ENGLISHSRCDIR)/security/audit/data -endif - -index.$(LANGUAGE).html: index.wml \ - $(ENGLISHSRCDIR)/security/audit/data/2006.inc \ - $(ENGLISHSRCDIR)/security/audit/data/2006.data diff --git a/english/security/audit/2006/index.wml b/english/security/audit/2006/index.wml deleted file mode 100644 index 0f0addc5a11..00000000000 --- a/english/security/audit/2006/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="Debian Security Audit Advisories from 2006" -#use wml::debian::recent_list - -<h2>Advisories Released in 2006</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2006.inc" - -<p>Go back to <a href="..">the auditing project</a>, or to the <a href="../advisories">advisory lists</a>.</p> - diff --git a/english/security/audit/2007/Makefile b/english/security/audit/2007/Makefile deleted file mode 100644 index 11b8b336439..00000000000 --- a/english/security/audit/2007/Makefile +++ /dev/null @@ -1,16 +0,0 @@ -# If this makefile is not generic enough to support a translation, -# please contact debian-www. - -WMLBASE=../../.. -CUR_DIR=security/audit/2007 - -include $(WMLBASE)/Make.lang - -ifeq "$(LANGUAGE)" "en" -$(ENGLISHSRCDIR)/security/audit/data/2007.inc: $(ENGLISHSRCDIR)/security/audit/data/2007.data - $(ENGLISHSRCDIR)/security/audit/make-advisories $(ENGLISHSRCDIR)/security/audit/data -endif - -index.$(LANGUAGE).html: index.wml \ - $(ENGLISHSRCDIR)/security/audit/data/2007.inc \ - $(ENGLISHSRCDIR)/security/audit/data/2007.data diff --git a/english/security/audit/2007/index.wml b/english/security/audit/2007/index.wml deleted file mode 100644 index edac9053d4f..00000000000 --- a/english/security/audit/2007/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="Debian Security Audit Advisories from 2007" -#use wml::debian::recent_list - -<h2>Advisories Released in 2007</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2007.inc" - -<p>Go back to <a href="..">the auditing project</a>, or to the <a href="../advisories">advisory lists</a>.</p> - diff --git a/english/security/audit/2008/Makefile b/english/security/audit/2008/Makefile deleted file mode 100644 index 1ba98b7b51a..00000000000 --- a/english/security/audit/2008/Makefile +++ /dev/null @@ -1,16 +0,0 @@ -# If this makefile is not generic enough to support a translation, -# please contact debian-www. - -WMLBASE=../../.. -CUR_DIR=security/audit/2008 - -include $(WMLBASE)/Make.lang - -ifeq "$(LANGUAGE)" "en" -$(ENGLISHSRCDIR)/security/audit/data/2008.inc: $(ENGLISHSRCDIR)/security/audit/data/2008.data - $(ENGLISHSRCDIR)/security/audit/make-advisories $(ENGLISHSRCDIR)/security/audit/data -endif - -index.$(LANGUAGE).html: index.wml \ - $(ENGLISHSRCDIR)/security/audit/data/2008.inc \ - $(ENGLISHSRCDIR)/security/audit/data/2008.data diff --git a/english/security/audit/2008/index.wml b/english/security/audit/2008/index.wml deleted file mode 100644 index 79657d85146..00000000000 --- a/english/security/audit/2008/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="Debian Security Audit Advisories from 2008" -#use wml::debian::recent_list - -<h2>Advisories Released in 2008</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2008.inc" - -<p>Go back to <a href="..">the auditing project</a>, or to the <a href="../advisories">advisory lists</a>.</p> - diff --git a/english/security/audit/2009/Makefile b/english/security/audit/2009/Makefile deleted file mode 100644 index c301ecdc6e0..00000000000 --- a/english/security/audit/2009/Makefile +++ /dev/null @@ -1,16 +0,0 @@ -# If this makefile is not generic enough to support a translation, -# please contact debian-www. - -WMLBASE=../../.. -CUR_DIR=security/audit/2009 - -include $(WMLBASE)/Make.lang - -ifeq "$(LANGUAGE)" "en" -$(ENGLISHSRCDIR)/security/audit/data/2009.inc: $(ENGLISHSRCDIR)/security/audit/data/2009.data - $(ENGLISHSRCDIR)/security/audit/make-advisories $(ENGLISHSRCDIR)/security/audit/data -endif - -index.$(LANGUAGE).html: index.wml \ - $(ENGLISHSRCDIR)/security/audit/data/2009.inc \ - $(ENGLISHSRCDIR)/security/audit/data/2009.data diff --git a/english/security/audit/2009/index.wml b/english/security/audit/2009/index.wml deleted file mode 100644 index 809400aadd7..00000000000 --- a/english/security/audit/2009/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="Debian Security Audit Advisories from 2009" -#use wml::debian::recent_list - -<h2>Advisories Released in 2009</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Go back to <a href="..">the auditing project</a>, or to the <a href="../advisories">advisory lists</a>.</p> - diff --git a/english/security/audit/2011/Makefile b/english/security/audit/2011/Makefile deleted file mode 100644 index 5da67c4b697..00000000000 --- a/english/security/audit/2011/Makefile +++ /dev/null @@ -1,16 +0,0 @@ -# If this makefile is not generic enough to support a translation, -# please contact debian-www. - -WMLBASE=../../.. -CUR_DIR=security/audit/2011 - -include $(WMLBASE)/Make.lang - -ifeq "$(LANGUAGE)" "en" -$(ENGLISHSRCDIR)/security/audit/data/2011.inc: $(ENGLISHSRCDIR)/security/audit/data/2011.data - $(ENGLISHSRCDIR)/security/audit/make-advisories $(ENGLISHSRCDIR)/security/audit/data -endif - -index.$(LANGUAGE).html: index.wml \ - $(ENGLISHSRCDIR)/security/audit/data/2011.inc \ - $(ENGLISHSRCDIR)/security/audit/data/2011.data diff --git a/english/security/audit/2011/index.wml b/english/security/audit/2011/index.wml deleted file mode 100644 index 8e17760cc51..00000000000 --- a/english/security/audit/2011/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="Debian Security Audit Advisories from 2011" -#use wml::debian::recent_list - -<h2>Advisories Released in 2011</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" - -<p>Go back to <a href="..">the auditing project</a>, or to the <a href="../advisories">advisory lists</a>.</p> - diff --git a/english/security/audit/Makefile b/english/security/audit/Makefile deleted file mode 100644 index 1c8181e0002..00000000000 --- a/english/security/audit/Makefile +++ /dev/null @@ -1,27 +0,0 @@ -# If this makefile is not generic enough to support a translation, -# please contact debian-www. - -WMLBASE=../.. -CUR_DIR=security/audit - -all:: dsa -install:: all -clean:: - -rm ./data/[0-9]*.inc - -rm ./data/credits.inc - -ifeq "$(sort $(wildcard data/*.data))" "" -dsa: -else -dsa: $(ENGLISHDIR)/security/audit/make-advisories - -$(ENGLISHDIR)/security/audit/make-advisories: $(sort $(wildcard data/*.data)) - $(ENGLISHDIR)/security/audit/make-advisories ./data -endif - -SUBS=examples 2002 2003 2004 2005 2006 2007 2008 2009 2011 -GETTEXTFILES += others.mo - -include $(WMLBASE)/Make.lang - -.PHONY: dsa diff --git a/english/security/audit/advisories.wml b/english/security/audit/advisories.wml deleted file mode 100644 index c549ae56af9..00000000000 --- a/english/security/audit/advisories.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::template title="Security Audit Advisories" -#use wml::debian::recent_list - -<p>Here you can see the latest advisories which have been released, as a direct -result of this auditing project.</p> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Also available are records of the advisories which were released in previous years:</p> - -<ul> -<li><a href="/security/audit/2011">2011</a></li> -<li><a href="/security/audit/2009">2009</a></li> -<li><a href="/security/audit/2008">2008</a></li> -<li><a href="/security/audit/2007">2007</a></li> -<li><a href="/security/audit/2006">2006</a></li> -<li><a href="/security/audit/2005">2005</a></li> -<li><a href="/security/audit/2004">2004</a></li> -<li><a href="/security/audit/2003">2003</a></li> -<li><a href="/security/audit/2002">2002</a></li> -</ul> - diff --git a/english/security/audit/auditing.wml b/english/security/audit/auditing.wml deleted file mode 100644 index 7fcc76efd35..00000000000 --- a/english/security/audit/auditing.wml +++ /dev/null @@ -1,159 +0,0 @@ -#use wml::debian::template title="Conducting an audit" -#use wml::debian::recent_list - - -<p>This page gives a rough overview of the steps necessary to conduct - an audit of a package.</p> - -<p>The first step is to actually choose a package to examine, you should - pick one that's more critical to security.</p> - -<p>See <a href="$(HOME)/security/audit/packages">the list of packages -that we think are most important to audit</a> for suggestions on how -to make your decision.</p> - -<p>One thing that should be made clear is that we are <em>not</em> trying - to make sure that a package is only audited once. If many people choose to - examine the same package this is a good thing, as it demonstrates that - many people believe the package is security sensitive.</p> - -<p>By allowing an essentially random selection of packages we simplify -coordination and we eliminate the problem of <q>how can you trust person -X to do a good job?</q> (We don't need to as it is assumed that sooner -or later somebody else will choose to examine the same program).</p> - -<h2>Starting the audit</h2> - -<p>After making your package selection you actually need to start the -audit.</p> - -<p>If you're not sure about the kind of problems you're looking for -first start by reading a book on how to develop secure software.</p> - -<p>The <a href="http://www.dwheeler.com/secure-programs">Secure -Programming for Linux and Unix HOWTO</a> has a lot of good information -that can help you. -<a href="http://www.securecoding.org/">Secure Coding: Principles & Practices</a> -by Mark G. Graff and Kenneth R. van Wyk is also an excellent -book.</p> - -<p>Although tools are imperfect, they can still be extremely helpful -in finding likely vulnerabilities, See <a href="tools">the auditing -tools page</a> for more information on some of the available auditing -tools and how they are used.</p> - -<p>As well as looking at the code itself it is a good idea to read the -documentation of the package itself, and try installing it and using -it.</p> - -<p>This might allow you to think of ways to subvert the program in - its typical operation.</p> - -<h2>Reporting Problems</h2> - -<p>If you do discover a problem within the package that you are -examining it then you should report it. When reporting a security bug -try to provide also a patch for it so that the developers can fix it -in a timely fashion. There is no need to provide an attack sample -(often called an <em>exploit</em> or <em>proof of concept</em>) since -the patch should speak for itself, it is usually best to invest time -in provide a proper patch that to provide a successful attack that -exploits the bug.</p> - -<p>Here is a list of recommended steps once you have found a security -bug in Debian:</p> - -<ol> - -<li>Try to produce a patch for the bug or obtain sufficient -information so others can determine the bug's existence. Ideally each -report should contain a fix for the problem which you have discovered, -which has been tested and verified to actually close the problem. - -<p>If you do not have a fix then the more detail you can give on the -scope of the problem, the relative severity of the issue and any -workarounds the better.</p></li> - -<li>First review if the security bug is present in the stable -Debian release or if it might be present in other distributions or in -the version provided by upstream maintainers.</li> - -<li>Based on the above review, report the issue: - -<ul> - -<li>To the upstream maintainer through their security -contact e-mail, provide the analysis and the patch.</li> - -<li>To the Debian Security Team if the bug is present in a released -Debian version. The Debian Security Team will typically assign a <a -href="$(HOME)/security/cve-compatibility">CVE name</a> to the -vulnerability. The security team will coordinate with any other Linux -Distributions if necessary and contact the package maintainer on your -behalf. You can, however, send a copy of the mail also to the package -maintainer. Do so only when handling low risk vulnerabilities (see -below).</li> - -<li>If the bug is not present in a released Debian version and the -application might be present in other distributions or operating -systems then mail <a -href="http://oss-security.openwall.org/wiki/mailing-lists/oss-security">oss-security</a> -(a public mailing list used to report and discuss security bugs that -have been publicly disclosed). You don't need to do this if you have -already sent the bug to the Debian Security Team as they will forward -it to this list too.</li> - -<li>If the bug is <strong>not</strong> present in any released Debian version -and you are absolutely sure that the application is <strong>not</strong> included -in any other distributions or operating system then report it through the -Bug Tracking system.</li> - -</ul></li> - -<li>Once the vulnerability is public (i.e. when the Debian Security -Team or other vendor has issued an advisory) then a bug with all the -relevant information should be filed in the Debian Bug Tracking System -to keep track of the security issue in unreleased Debian versions -(i.e. <em>sid</em> or <em>testing</em>). This is usually done by the -Security Team itself, if you find that they have missed this or you -are not reporting this to the Security Team then you can report it -yourself. Make sure you tag the bug appropriately (use the -<em>security</em> tag) and that you set the proper priority (usually -<em>grave</em> or higher). Also make sure that the bug title includes -the proper <a href="$(HOME)/security/cve-compatibility">CVE name</a> -if one has been assigned to it. This provides a way to keep track of -security bugs so that they are fixed both in the released and -unreleased Debian versions.</li> - -<li>If you wish, once the issue is public, you can forward this information -to public full disclosure mailing lists such as -<a href="https://lists.grok.org.uk/mailman/listinfo/full-disclosure">full-disclosure</a> -or -<a href="http://www.securityfocus.com/archive/1">Bugtraq</a>.</li> - -</ol> - -<p>Notice that these steps might depend based on the risk associated with -the vulnerability found. You need to assess the risk based on:</p> - -<ul> -<li>If the vulnerability is remote or local.</li> -<li>The consequences of the vulnerability if exploited.</li> -<li>The widespread usage of the software affected by the vulnerability.</li> -</ul> - -<p>Different steps should be taken, for example, to report a local -symlink attack that can only be used by authenticated users and only -provides a way to damage the system than to report a remote buffer -overflow that provides administrative privileges and is present in -software which is in widespread use.</p> - -<p>In most cases, as most security bugs shouldn't be disclosed -generally until after they have been fixed <em>do not</em> report them -via the standard <a href="https://bugs.debian.org/">Debian Bug Tracking -System</a>, instead first report the problem directly to <a -href="$(HOME)/security/">the Security Team</a> who will handle the -release of an updated package and, once fixed, report them to the -BTS.</p> - - diff --git a/english/security/audit/data/2002.data b/english/security/audit/data/2002.data deleted file mode 100644 index 74c91699b92..00000000000 --- a/english/security/audit/data/2002.data +++ /dev/null @@ -1,7 +0,0 @@ -[dsa-205-1] -package=gtetrinet -date= 10 Dec 2002 -link=https://www.debian.org/security/2002/dsa-205 -type=buffer overflow -credit=Steve Kemp - diff --git a/english/security/audit/data/2003.data b/english/security/audit/data/2003.data deleted file mode 100644 index 91bec132b6f..00000000000 --- a/english/security/audit/data/2003.data +++ /dev/null @@ -1,98 +0,0 @@ -[dsa-326-1] -package=orville-write -date= 19 Jun 2003 -link=https://www.debian.org/security/2003/dsa-326 -type=buffer overflows -credit=Steve Kemp - -[dsa-327-1] -package=xbl -date= 19 Jun 2003 -link=https://www.debian.org/security/2003/dsa-327 -type=buffer overflows -credit=Steve Kemp - -[dsa-329-1] -package=osh -date= 20 Jun 2003 -link=https://www.debian.org/security/2003/dsa-329 -type=buffer overflows -credit=Steve Kemp - -[dsa-334-1] -package=xgalaga -date= 28 Jun 2003 -link=https://www.debian.org/security/2003/dsa-334 -type=buffer overflows -credit=Steve Kemp - -[dsa-354-1] -package=xconq -date= 29 Jul 2003 -link=https://www.debian.org/security/2003/dsa-354 -type=buffer overflows -credit=Steve Kemp - -[dsa-356-1] -package=xtokkaetama -date= 30 Jul 2003 -link=https://www.debian.org/security/2003/dsa-356 -type=buffer overflows -credit=Steve Kemp - -[dsa-359-1] -package=atari800 -date= 31 Jul 2003 -link=https://www.debian.org/security/2003/dsa-359 -type=buffer overflows -credit=Steve Kemp - -[dsa-368-1] -package=xpcd -date= 08 Aug 2003 -link=https://www.debian.org/security/2003/dsa-368 -type=buffer overflow -credit=Steve Kemp - -[dsa-369-1] -package=zblast -date= 08 Aug 2003 -link=https://www.debian.org/security/2003/dsa-369 -type=buffer overflow -credit=Steve Kemp - -[dsa-390-1] -package=marbles -date= 26 Sep 2003 -link=https://www.debian.org/security/2003/dsa-390 -type=buffer overflow -credit=Steve Kemp - -[dsa-391-1] -package=freesweep -date= 28 Sep 2003 -link=https://www.debian.org/security/2003/dsa-391 -type=buffer overflow -credit=Steve Kemp - -[dsa-398-1] -package=conquest -date= 10 Nov 2003 -link=https://www.debian.org/security/2003/dsa-398 -type=buffer overflow -credit=Steve Kemp - -[dsa-400-1] -package=omega-rpg -date= 11 Nov 2003 -link=https://www.debian.org/security/2003/dsa-400 -type=buffer overflow -credit=Steve Kemp - -[dsa-405-1] -package=xsok -date= 30 Dec 2003 -link=https://www.debian.org/security/2003/dsa-405 -type=missing privilege release -credit=Steve Kemp - diff --git a/english/security/audit/data/2004.data b/english/security/audit/data/2004.data deleted file mode 100644 index ddae05f23b3..00000000000 --- a/english/security/audit/data/2004.data +++ /dev/null @@ -1,175 +0,0 @@ -[dsa-406-1] -package=lftp -date= 05 Jan 2004 -link=https://www.debian.org/security/2004/dsa-406 -type=buffer overflow -credit=Ulf Hãrnhammar - -[dsa-420-1] -package=jitterbug -date= 12 Jan 2004 -link=https://www.debian.org/security/2004/dsa-420 -type=improperly sanitised input -credit=Steve Kemp - -[dsa-430-1] -package=trr19 -date= 28 Jan 2004 -link=https://www.debian.org/security/2004/dsa-430 -type=missing privilege release -credit=Steve Kemp - -[dsa-432-1] -package=crawl -date= 03 Feb 2004 -link=https://www.debian.org/security/2004/dsa-432 -type=buffer overflow -credit=Steve Kemp - -[dsa-445-1] -package=lbreakout2 -date= 21 Feb 2004 -link=https://www.debian.org/security/2004/dsa-445 -type=buffer overflow -credit=Ulf Hãrnhammar - -[dsa-446-1] -package=synaesthesia -date= 21 Feb 2004 -link=https://www.debian.org/security/2004/dsa-446 -type=insecure file creation -credit=Ulf Hãrnhammar - -[dsa-447-1] -package=hsftp -date= 22 Feb 2004 -link=https://www.debian.org/security/2004/dsa-447 -type=format string -credit=Ulf Hãrnhammar - -[dsa-449-1] -package=metamail -date= 24 Feb 2004 -link=https://www.debian.org/security/2004/dsa-449 -type=buffer overflow, format string bugs -credit=Ulf Hãrnhammar - -[dsa-451-1] -package=xboing -date= 27 Feb 2004 -link=https://www.debian.org/security/2004/dsa-451 -type=buffer overflows -credit=Steve Kemp - -[dsa-462-1] -package=xitalk -date= 12 Mar 2004 -link=https://www.debian.org/security/2004/dsa-462 -type=missing privilege release -credit=Steve Kemp - -[dsa-468-1] -package=emil -date= 24 Mar 2004 -link=https://www.debian.org/security/2004/dsa-468 -type=several vulnerabilities -credit=Ulf Hãrnhammar - -[dsa-472-1] -package=fte -date= 03 Apr 2004 -link=https://www.debian.org/security/2004/dsa-472 -type=several vulnerabilities -credit=Steve Kemp - -[dsa-484-1] -package=xonix -date= 14 Apr 2004 -link=https://www.debian.org/security/2004/dsa-484 -type=failure to drop privileges -credit=Steve Kemp - -[dsa-485-1] -package=ssmtp -date= 14 Apr 2004 -link=https://www.debian.org/security/2004/dsa-485 -type=format string -credit=Max Vozeler - -[dsa-508-1] -package=xpcd -date= 22 May 2004 -link=https://www.debian.org/security/2004/dsa-508 -type=buffer overflow -credit=Swaraj Bontula - -[dsa-509-1] -package=gatos -date= 29 May 2004 -link=https://www.debian.org/security/2004/dsa-509 -type=privilege escalation -credit=Steve Kemp - -[dsa-510-1] -package=jftpgw -date= 29 May 2004 -link=https://www.debian.org/security/2004/dsa-510 -type=format string -credit=Swaraj Bontula - -[dsa-522-1] -package=super -date= 19 Jun 2004 -link=https://www.debian.org/security/2004/dsa-522 -type=format string vulnerability -credit=Max Vozeler - -[dsa-523-1] -package=www-sql -date= 19 Jun 2004 -link=https://www.debian.org/security/2004/dsa-523 -type=buffer overflow -credit=Ulf Hãrnhammar - -[dsa-527-1] -package=pavuk -date= 03 Jul 2004 -link=https://www.debian.org/security/2004/dsa-527 -type=buffer overflow -credit=Ulf Hãrnhammar - -[dsa-557-1] -package=rp-pppoe -date= 04 Oct 2004 -link=https://www.debian.org/security/2004/dsa-557 -type=missing privilege dropping -credit=Max Vozeler - -[dsa-565-1] -package=sox -date= 13 Oct 2004 -link=https://www.debian.org/security/2004/dsa-565 -type=buffer overflow -credit=Ulf Hãrnhammar - -[dsa-592-1] -package=ez-ipupdate -date= 12 Nov 2004 -link=https://www.debian.org/security/2004/dsa-592 -type=format string -credit=Ulf Hãrnhammar - -[dsa-598-1] -package=yardradius -date= 25 Nov 2004 -link=https://www.debian.org/security/2004/dsa-598 -type=buffer overflow -credit=Max Vozeler - -[dsa-615-1] -package=debmake -date= 22 Dec 2004 -link=https://www.debian.org/security/2004/dsa-615 -type=insecure temporary files -credit=Javier Fernandez-Sanguino Pena - diff --git a/english/security/audit/data/2005.data b/english/security/audit/data/2005.data deleted file mode 100644 index 3a1b7add69c..00000000000 --- a/english/security/audit/data/2005.data +++ /dev/null @@ -1,245 +0,0 @@ -[dsa-622-1] -package=htmlheadline -date= 03 Jan 2005 -link=https://www.debian.org/security/2005/dsa-622 -type=insecure temporary files -credit=Javier Fernandez-Sanguino Pena - -[dsa-643-1] -package=queue -date= 18 Jan 2005 -link=https://www.debian.org/security/2005/dsa-643 -type=buffer overflows -credit=Swaraj Bontula - -[dsa-647-1] -package=mysql -date= 19 Jan 2005 -link=https://www.debian.org/security/2005/dsa-647 -type=insecure temporary files -credit=Javier Fernandez-Sanguino Pena - -[dsa-650-1] -package=sword -date= 20 Jan 2005 -link=https://www.debian.org/security/2005/dsa-650 -type=missing input sanitising -credit=Ulf Hãrnhammar - -[dsa-656-1] -package=vdr -date= 25 Jan 2005 -link=https://www.debian.org/security/2005/dsa-656 -type=insecure file access -credit=Javier Fernandez-Sanguino Pena - -[dsa-658-1] -package=libdbi-perl -date= 25 Jan 2005 -link=https://www.debian.org/security/2005/dsa-658 -type=insecure temporary file -credit=Javier Fernandez-Sanguino Pena - -[dsa-661-2] -package=f2c -date= 20 Apr 2005 -link=https://www.debian.org/security/2005/dsa-661 -type=insecure temporary files -credit=Javier Fernandez-Sanguino Pena - -[dsa-670-1] -package=emacs20 -date= 08 Feb 2005 -link=https://www.debian.org/security/2005/dsa-670 -type=format string -credit=Max Vozeler - -[dsa-671-1] -package=xemacs21 -date= 08 Feb 2005 -link=https://www.debian.org/security/2005/dsa-671 -type=format string -credit=Max Vozeler - -[dsa-673-1] -package=evolution -date= 10 Feb 2005 -link=https://www.debian.org/security/2005/dsa-673 -type=integer overflow -credit=Max Vozeler - -[dsa-684-1] -package=typespeed -date= 16 Feb 2005 -link=https://www.debian.org/security/2005/dsa-684 -type=format string -credit=Steve Kemp - -[dsa-685-1] -package=emacs21 -date= 17 Feb 2005 -link=https://www.debian.org/security/2005/dsa-685 -type=format string -credit=Steve Kemp - -[dsa-687-1] -package=bidwatcher -date= 18 Feb 2005 -link=https://www.debian.org/security/2005/dsa-687 -type=format string -credit=Ulf Hãrnhammar - -[dsa-691-1] -package=abuse -date= 07 Mar 2005 -link=https://www.debian.org/security/2005/dsa-691 -type=several vulnerabilities -credit=Steve Kemp - -[dsa-700-1] -package=mailreader -date= 30 Mar 2005 -link=https://www.debian.org/security/2005/dsa-700 -type=missing input sanitising -credit=Ulf Hãrnhammar - -[dsa-706-1] -package=axel -date= 13 Apr 2005 -link=https://www.debian.org/security/2005/dsa-706 -type=buffer overflow -credit=Ulf Hãrnhammar - -[dsa-752-1] -package=gzip -date= 11 Jul 2005 -link=https://www.debian.org/security/2005/dsa-752 -type=several vulnerabilities -credit=Ulf Hãrnhammar - -[dsa-786-1] -package=simpleproxy -date= 26 Aug 2005 -link=https://www.debian.org/security/2005/dsa-786 -type=format string vulnerability -credit=Ulf Hãrnhammar - -[dsa-791-1] -package=maildrop -date= 30 Aug 2005 -link=https://www.debian.org/security/2005/dsa-791 -type=missing privilege release -credit=Max Vozeler - -[dsa-792-1] -package=pstotext -date= 31 Aug 2005 -link=https://www.debian.org/security/2005/dsa-792 -type=missing input sanitising -credit=Max Vozeler - -[dsa-814-1] -package=lm-sensors -date= 15 Sep 2005 -link=https://www.debian.org/security/2005/dsa-814 -type=insecure temporary file -credit=Javier Fernandez-Sanguino Pena - -[dsa-818-1] -package=kdeedu -date= 22 Sep 2005 -link=https://www.debian.org/security/2005/dsa-818 -type=insecure temporary files -credit=Javier Fernandez-Sanguino Pena - -[dsa-835-1] -package=cfengine -date= 01 Oct 2005 -link=https://www.debian.org/security/2005/dsa-835 -type=insecure temporary files -credit=Javier Fernandez-Sanguino Pena - -[dsa-836-1] -package=cfengine2 -date= 01 Oct 2005 -link=https://www.debian.org/security/2005/dsa-836 -type=insecure temporary files -credit=Javier Fernandez-Sanguino Pena - -[dsa-855-1] -package=weex -date= 10 Oct 2005 -link=https://www.debian.org/security/2005/dsa-855 -type=format string vulnerability -credit=Ulf Hãrnhammar - -[dsa-857-1] -package=graphviz -date= 10 Oct 2005 -link=https://www.debian.org/security/2005/dsa-857 -type=insecure temporary file -credit=Javier Fernandez-Sanguino Pena - -[dsa-863-1] -package=xine-lib -date= 12 Oct 2005 -link=https://www.debian.org/security/2005/dsa-863 -type=format string vulnerability -credit=Ulf Hãrnhammar - -[dsa-867-1] -package=module-assistant -date= 20 Oct 2005 -link=https://www.debian.org/security/2005/dsa-867 -type=insecure temporary file -credit=Eduard Bloch - -[dsa-874-1] -package=lynx -date= 27 Oct 2005 -link=https://www.debian.org/security/2005/dsa-874 -type=buffer overflow -credit=Ulf Hãrnhammar - -[dsa-876-1] -package=lynx-ssl -date= 27 Oct 2005 -link=https://www.debian.org/security/2005/dsa-876 -type=buffer overflow -credit=Ulf Hãrnhammar - -[dsa-883-1] -package=thttpd -date= 04 Nov 2005 -link=https://www.debian.org/security/2005/dsa-883 -type=insecure temporary file -credit=Javier Fernandez-Sanguino Pena - -[dsa-916-1] -package=inkscape -date= 07 Dec 2005 -link=https://www.debian.org/security/2005/dsa-916 -type=buffer overflow -credit=Javier Fernandez-Sanguino Pena - -[dsa-926-2] -package=ketm -date= 23 Dec 2005 -link=https://www.debian.org/security/2005/dsa-926 -type=buffer overflow -credit=Steve Kemp - -[dsa-927-2] -package=tkdiff -date= 27 Dec 2005 -link=https://www.debian.org/security/2005/dsa-927 -type=insecure temporary file -credit=Javier Fernandez-Sanguino Pena - -[dsa-928-1] -package=dhis-tools-dns -date= 27 Dec 2005 -link=https://www.debian.org/security/2005/dsa-928 -type=insecure temporary file -credit=Javier Fernandez-Sanguino Pena - diff --git a/english/security/audit/data/2006.data b/english/security/audit/data/2006.data deleted file mode 100644 index 52cf14e92da..00000000000 --- a/english/security/audit/data/2006.data +++ /dev/null @@ -1,42 +0,0 @@ -[dsa-929-1] -package=petris -date= 09 Jan 2006 -link=https://www.debian.org/security/2006/dsa-929 -type=buffer overflow -credit=Steve Kemp - -[dsa-930-2] -package=smstools -date= 09 Jan 2006 -link=https://www.debian.org/security/2006/dsa-930 -type=format string attack -credit=Ulf Hãrnhammar - -[dsa-941-1] -package=tuxpaint -date= 16 Jan 2006 -link=https://www.debian.org/security/2006/dsa-941 -type=insecure temporary file -credit=Javier Fernandez-Sanguino Pena - -[Dsa-945-1] -package=antiword -date= 17 Jan 2006 -link=https://www.debian.org/security/2006/dsa-945 -type=insecure temporary file -credit=Javier Fernandez-Sanguino Pena - -[dsa-949-1] -package=crawl -date= 20 Jan 2006 -link=https://www.debian.org/security/2006/dsa-949 -type=insecure program execution -credit=Steve Kemp - -[dsa-959-1] -package=unalz -date= 30 Jan 2006 -link=https://www.debian.org/security/2006/dsa-959 -type=buffer overflow -credit=Ulf Hãrnhammar - diff --git a/english/security/audit/data/2007.data b/english/security/audit/data/2007.data deleted file mode 100644 index 44ae7f67342..00000000000 --- a/english/security/audit/data/2007.data +++ /dev/null @@ -1,42 +0,0 @@ -[dsa-1326-1] -package=fireflier-server -date=01 Jul 2007 -link=https://www.debian.org/security/2007/dsa-1326 -type=insecure temporary files -credit=Steve Kemp - -[dsa-1327-1] -package=gsambad -date=01 Jul 2007 -link=https://www.debian.org/security/2007/dsa-1327 -type=buffer overflow -credit=Steve Kemp - -[dsa-1328-1] -package=unicon-imc2 -date=01 Jul 2007 -link=https://www.debian.org/security/2007/dsa-1328 -type=buffer overflow -credit=Steve Kemp - -[dsa-1329-1] -package=gfax -date=5 Jul 2007 -link=https://www.debian.org/security/2007/dsa-1329 -type=insecure temporary files -credit=Steve Kemp - -[dsa-1395-1] -package=xen-utils -date=25 Oct 2007 -link=https://www.debian.org/security/2007/dsa-1395 -type=insecure temporary files -credit=Steve Kemp - -[dsa-1402-1] -package=gforge -date=7 Nov 2007 -link=https://www.debian.org/security/2007/dsa-1402 -type=insecure temporary files -credit=Steve Kemp - diff --git a/english/security/audit/data/2008.data b/english/security/audit/data/2008.data deleted file mode 100644 index 992b4b9d2bb..00000000000 --- a/english/security/audit/data/2008.data +++ /dev/null @@ -1,13 +0,0 @@ -[dsa-1668-1] -package=hf -date=22 Nov 2008 -link=https://www.debian.org/security/2008/dsa-1668 -type=insecure execution of external commands -credit=Steve Kemp - -[dsa-1526] -package=xwine -date=20 Mar 2008 -link=https://www.debian.org/security/2008/dsa-1526 -type=unsafe use of temporary files and incorrect file permissions -credit=Steve Kemp diff --git a/english/security/audit/data/2009.data b/english/security/audit/data/2009.data deleted file mode 100644 index f3fe05b9307..00000000000 --- a/english/security/audit/data/2009.data +++ /dev/null @@ -1,15 +0,0 @@ -[bug-548684] -package=oping -date=28 Sep 2009 -link=https://bugs.debian.org/548684 -type=arbitrary file read -credit=Steve Kemp -cve=CVE-2009-3614 - -[bug-546178] -package=planet -date=11 Sep 2009 -link=https://bugs.debian.org/546178 -type=failure to sanitise input -credit=Steve Kemp -cve=CVE-2009-3614 diff --git a/english/security/audit/data/2011.data b/english/security/audit/data/2011.data deleted file mode 100644 index 048540df5af..00000000000 --- a/english/security/audit/data/2011.data +++ /dev/null @@ -1,8 +0,0 @@ -[bug-629003] -package=fabric -date=2 Jun 2011 -link=https://bugs.debian.org/629003 -type=insecure file creation -credit=Steve Kemp -cve=CVE-2011-2185 - diff --git a/english/security/audit/examples/Makefile b/english/security/audit/examples/Makefile deleted file mode 100644 index 718cb768cfe..00000000000 --- a/english/security/audit/examples/Makefile +++ /dev/null @@ -1,24 +0,0 @@ -# If this makefile is not generic enough to support a translation, -# please contact debian-www. - -WMLBASE=../../.. -CUR_DIR=security/audit/examples -SUBS= - -GETTEXTFILES += others.mo - -include $(WMLBASE)/Make.lang - -ifeq "$(LANGUAGE)" "en" -textfiles := test.c test.c.html -# highlight.css -desttextfiles := $(patsubst %,$(HTMLDIR)/%,$(textfiles)) - -install:: $(desttextfiles) - -$(desttextfiles): $(HTMLDIR)/%: % - install -m 664 -p $< $(HTMLDIR) - -cleandest:: - rm -f $(desttextfiles) -endif diff --git a/english/security/audit/examples/RATS.wml b/english/security/audit/examples/RATS.wml deleted file mode 100644 index 6294270a545..00000000000 --- a/english/security/audit/examples/RATS.wml +++ /dev/null @@ -1,110 +0,0 @@ -#use wml::debian::template title="Automated Audit Example: RATS" -#use wml::debian::recent_list - -<p><a href="https://packages.debian.org/rats">RATS</a> is a general purpose scanner for detecting potential security problems in a number of programming languages.</p> - -<h2>Running RATS</h2> -<p>Running RATS is as simple as invoking the command with a directory to process. Each of the recognised source files it finds will be processed. RATS understands several programming languages, C, Perl, PHP, and Python and will treat each as valid source to examine.</p> -<p>There are several options which may be given in addition to a directory name to scane, these are described in the manpage.</p> -<p>The most useful of the options are those concerning the output, such as:</p> -<ul> -<li>--warning <level> (Set the level of flaws to be reported upon) -<ul> -<li>1 includes only default and high severity.</li> -<li>2 includes medium severity (default).</li> -<li>3 includes low severity vulnerabilities.</li> -</ul></li> -<li>--xml (Output in XML)</li> -<li>--html (Output in HTML)</li> -</ul> -<p>Assuming that we have the <a href="test.c.html">test file</a> located in the current directory, with no other source files we can invoke the scanner with the following command:</p> -<pre> -rats --warning 1 --html . >output.html -</pre> -<p>This will produce an HTML file containing the results of the scan, which can be loaded by a browser.</p> - -<h2>The Results</h2> -<p>Running RATS against our <a href="test.c.html">sample code</a> produces the following output:</p> -<hr /> -<div class="sampleblock"> -<h3>Severity: High</h3> -<p>Issue: fixed size global buffer</p> -<p> - Extra care should be taken to ensure that character arrays that are - allocated on the stack are used safely. They are prime targets for - buffer overflow attacks. -</p> -<p> -File: <b>test.c</b><br> -Lines: 10 11 12 -</p> - -<h3>Severity: High</h3> -<p>Issue: strcpy</p> -<p> - Check to be sure that argument 2 passed to this function call will not - copy more data than can be handled, resulting in a buffer overflow. - </p> -<p> -File: <b>test.c</b><br> -Lines: 18 -</p> - -<h3>Severity: High</h3> -<p>Issue: getenv</p> -<p>Environment variables are highly untrustable input. They may be of any length, and contain any data. Do not make any assumptions regarding content or length. If at all possible avoid using them, and if it is necessary, sanitize them and truncate them to a reasonable length. - </p> -<p> -File: <b>test.c</b><br> -Lines: 22 24 </p> - -<h3>Severity: High</h3> -<p>Issue: sprintf</p> -<p> - Check to be sure that the format string passed as argument 2 to this - function call does not come from an untrusted source that could have added - formatting characters that the code is not prepared to handle. - Additionally, the format string could contain `%s' without precision that - could result in a buffer overflow. -</p> -<p> -File: <b>test.c</b><br> -Lines: 24 </p> - -<h3>Severity: High</h3> -<p>Issue: popen</p> -<p> - Argument 1 to this function call should be checked to ensure that it does - not come from an untrusted source without first verifying that it contains - nothing dangerous. -</p> -<p> -File: <b>test.c</b><br> -Lines: 33 </p> - -<h3>Severity: High</h3> -<p> Issue: printf</p> -<p> - Check to be sure that the non-constant format string passed as argument 1 - to this function call does not come from an untrusted source that could - have added formatting characters that the code is not prepared to handle. -</p> -<p> -File: <b>test.c</b><br> -Lines: 42 </p> -<p> -Total lines analyzed: <b>49</b><br> -Total time <b>0.000288</b> seconds<br> -<b>170138</b> lines per second</p> -</div> -<hr /> -<p>This output is quite volumous, despite the code itself being very short - this shows one of the downsides of automated scanning which is the sheer volume of output.</p> - -<h2>Understanding The Output</h2> -<p>The output that has been produced is basically a description of the functions which it encountered, the line number of which the flaw was detected and a description of the problem. (As we used the "--warning" level to restrict the output to only "high" level functions we've reduced the output somewhat.)</p> -<p>Each of the issues that have been discovered should be manually examined to see if there is something really wrong, or if it was a false positive (ie. a function that may be misused being used correctly).</p> -<p>In this case we can see that all of the vulnerabilities in our code have been spotted, but it's not exactly clear without going through the code with an editor and matching up the lines.</p> -<p>One big omission is that the output doesn't include the lines which are reported upon - something that <a href="flawfinder">flawfinder</a> does allow you to include.</p> -<hr /> -<p><a href="..">Back to the auditing project</a> | <a href="index">Back to the sample auditing page</a></p> - diff --git a/english/security/audit/examples/flawfinder.wml b/english/security/audit/examples/flawfinder.wml deleted file mode 100644 index 66b46d2f364..00000000000 --- a/english/security/audit/examples/flawfinder.wml +++ /dev/null @@ -1,81 +0,0 @@ -#use wml::debian::template title="Automated Audit Example: flawfinder" -#use wml::debian::recent_list - -<p><a href="https://packages.debian.org/flawfinder">flawfinder</a> is a general purpose scanner for finding and reporting upon potential flaws in both C and C++ source code.</p> - - -<h2>Running flawfinder</h2> -<p>Running flawfinder as simple as invoking the command with the name directories or files to examine. If given a directory name it will then process all the valid source files it can find inside that directory.</p> -<p>In addition to given the program a list of files or directories there are several command line options which may be used to control the tools behaviour.</p> -<p>Each of the options is explained in the manpage, but the following options are particularly useful and will be used in our example:</p> -<ul> -<li>--minlevel=X -<ul> -<li>Set minimum risk level to X for inclusion in output. Ranges from 1-5, with 1 being "low risk" and 5 being "high risk".</li> -</ul></li> -<li>--html -<ul> -<li>Format the output as HTML instead of as simple text</li> -</ul></li> -<li>--context -<ul> -<li> Show context, i.e., the line having the potential flaw.</li> -</ul></li> -</ul> - -<p>To output an HTML file containing the results of our program, only - caring about "high risk" functions we'd run something like this:</p> -<pre> -flawfinder --html --context --minlevel=4 test.c > output.html -</pre> - -<h2>The Results</h2> -<p>Running flawfinder against our <a href="test.c.html">sample code</a> produces the following output:</p> - -<hr /> -<div class="sampleblock"> -<p> -Examining test.c <br> -<ul> -<li>test.c:18: <b> [4] </b> (buffer) <i> strcpy: - Does not check for buffer overflows when copying to destination. - Consider using strncpy or strlcpy (warning, strncpy is easily misused). </i> -<pre> - strcpy( dir, argv[ 1 ] ); -</pre> -<li>test.c:24: <b> [4] </b> (buffer) <i> sprintf: - Does not check for buffer overflows. Use snprintf or vsnprintf. </i> - -<pre> - sprintf( dir, "%s", getenv( "HOME" ) ); -</pre> -<li>test.c:33: <b> [4] </b> (shell) <i> popen: - This causes a new program to execute and is difficult to use safely. - try using a library call that implements the same functionality if - available. </i> -<pre> - fp = popen( cmd, "r" ); -</pre> -<li>test.c:42: <b> [4] </b> (format) <i> printf: - If format strings can be influenced by an attacker, they can be - exploited. Use a constant for the format specification. </i> - -<pre> - printf( buff ); -</pre> -</ul> -<p> -Number of hits = 4 -<br> -Number of Lines Analyzed = 48 in 0.53 seconds (1392 lines/second) -<br> -</div> -<hr /> - -<h2>Understanding The Output</h2> -<p>Much like the output of <a href="RATS">RATS</a> this report is very simple to read. It clearly shows the functions which have been detected as potentially dangerous, as well as a description of the problem.</p> -<p>Including context information is very useful too as it can immediately attract attention to areas of concern, or rule out other reports as being invalid.</p> -<p>The analysis of the <a href="test.c">our sample code</a> is fairly intelligent, in the sense that it didn't warn about <i>every</i> use of the troublesome <tt>strcpy</tt> function - only ones which it thought were potentially dangerous.</p> -<p>In this way it has managed to highlight all of our code's flaws whilst having no false positives.</p> -<hr /> -<p><a href="..">Back to the auditing project</a> | <a href="index">Back to the sample auditing page</a></p> diff --git a/english/security/audit/examples/highlight.css b/english/security/audit/examples/highlight.css deleted file mode 100644 index b3055c7e71e..00000000000 --- a/english/security/audit/examples/highlight.css +++ /dev/null @@ -1,19 +0,0 @@ -/* CSS definition file generated by highlight 2.2-8, http://www.andre-simon.de/ */ - -/* Highlighting theme definition: */ - - body { background-color:#ffffff; } - pre { color:#000000; background-color:#ffffff; font-size:1em; font-family:Courier;} - .num { color:#a900a9; } - .esc { color:#C42DA8; } - .str { color:#ff0000; } - .dstr { color:#ff0000; } - .slc { color:#666666; font-style:italic; } - .com { color:#666666; font-style:italic; } - .dir { color:#00b800; } - .sym { color:#ff0000; } - .line { color:#666666; } - .kwa { color:#0000ff; font-weight:bold; } - .kwb { color:#000000; font-weight:bold} - .kwc { color:#ec7f15; } - diff --git a/english/security/audit/examples/index.wml b/english/security/audit/examples/index.wml deleted file mode 100644 index 7f2d81cea60..00000000000 --- a/english/security/audit/examples/index.wml +++ /dev/null @@ -1,17 +0,0 @@ -#use wml::debian::template title="Automated Audit Examples" -#use wml::debian::recent_list - -<p>As the <a href="../tools">auditing tools page</a> explained there are several packages available within the Debian archive which may be used to automatically audit source code.</p> - - -<h2>Auditing Examples</h2> -<p>Each of the following tools is tested against the same piece of <a href="test.c.html">bug-ridden code</a>. This allows the output of the tools to be directly compared.</p> -<p>The code has been analysed with three tools:</p> -<ul> -<li><a href="flawfinder">flawfinder</a></li> -<li><a href="RATS">RATS</a></li> -<li><a href="pscan">pscan</a></li> -</ul> -<hr /> -<p><a href="..">Back to the auditing project</a></p> - diff --git a/english/security/audit/examples/pscan.wml b/english/security/audit/examples/pscan.wml deleted file mode 100644 index 80652225d5f..00000000000 --- a/english/security/audit/examples/pscan.wml +++ /dev/null @@ -1,40 +0,0 @@ -#use wml::debian::template title="Automated Audit Example: pscan" -#use wml::debian::recent_list - -<p><a href="https://packages.debian.org/pscan">pscan</a> is a package which is designed to audit C and C++ source files for format string vulnerabilities.</p> -<p>It is not a general purpose auditing tool.</p> - -<h2>Running pscan</h2> -<p>Running pscan is a simple matter of invoking it with the name of a file, or files, to check. For example:</p> -<pre> -pscan <a href="test.c.html">test.c</a> -</pre> -<p>The output will be written directly to the console:</p> -<hr /> -<samp> -test.c:42 SECURITY: printf call should have "%s" as argument 0 -</samp> -<hr /> - -<h2>The Output</h2> -<p>The output in this case is easy to understand. It has correctly - identified the fact that the <tt>printf</tt> call doesn't quote - it's arguments properly.</p> -<p>The output also shows us what we must do to correct the flaw, change the code which reads: -<pre> -printf( buff ); -</pre> -<p>To read:</p> -<pre> -printf( "%s", buff ); -</pre> -<p>Not doing this could allow an attacker who can control the output of <tt>ls</tt> to attack the program, by creating a file called "%s", or similar.</p> -<p>Format string attacks are discussed <a href="http://www.securityfocus.com/guest/3342">in this Security Focus introduction</a>.</p> -<p>The <a href="http://www.dwheeler.com/secure-programs/">Secure Programming for Linux and Unix HOWTO</a> explains how to protect against these attacks in commonly used variadic functions such as:</p> -<ul> -<li>printf</li> -<li>fprintf</li> -<li>syslog</li> -</ul> -<hr /> -<p><a href="..">Back to the auditing project</a> | <a href="index">Back to the sample auditing page</a></p> diff --git a/english/security/audit/examples/test.c b/english/security/audit/examples/test.c deleted file mode 100644 index 66c1d935ead..00000000000 --- a/english/security/audit/examples/test.c +++ /dev/null @@ -1,48 +0,0 @@ -/* - * Sample code with a few buffer overflows. - */ - -#include <stdio.h> -#include <stdlib.h> - -int main( int argc, char *argv[] ) -{ - char dir[1024]; - char cmd[1200]; - char buff[1024]; - FILE *fp = NULL; - int i = 0; - - if ( argc == 2 ) - { - strcpy( dir, argv[ 1 ] ); - } - else - { - if ( getenv( "HOME" ) != NULL ) - { - sprintf( dir, "%s", getenv( "HOME" ) ); - } - else - { - strcpy( dir, "/" ); - } - } - - snprintf(cmd, sizeof(cmd)-1, "%s %s", "ls", dir ); - fp = popen( cmd, "r" ); - if ( fp == NULL ) - { - printf("Failed to invoke: %s\n", cmd ); - return -1; - } - - while( i = fread( buff, 1, sizeof(buff), fp ) ) - { - printf( buff ); - } - - pclose( fp ); - - return 0; -} diff --git a/english/security/audit/examples/test.c.html b/english/security/audit/examples/test.c.html deleted file mode 100644 index 3d4fe215ae8..00000000000 --- a/english/security/audit/examples/test.c.html +++ /dev/null @@ -1,65 +0,0 @@ -<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"> -<html> -<head> - <meta http-equiv="content-type" content="text/html; charset=ISO-8859-1"> - <title>test.c</title> - <link rel="stylesheet" type="text/css" href="highlight.css"> -</head> -<body> -<pre><span class="com">/* - * Sample code with a few buffer overflows. (<a href="test.c">Plain file here</a>) - */</span> - -<span class="dir">#include <stdio.h> -</span><span class="dir">#include <stdlib.h> -</span> -<span class="kwb">int</span> main<span class="sym">(</span> <span class="kwb">int</span> argc<span class="sym">,</span> <span class="kwb">char</span> <span class="sym">*</span>argv<span class="sym">[] ) -{ -</span> <span class="kwb">char</span> dir<span class="sym">[</span><span class="num">1024</span><span class="sym">]; -</span> <span class="kwb">char</span> cmd<span class="sym">[</span><span class="num">1200</span><span class="sym">]; -</span> <span class="kwb">char</span> buff<span class="sym">[</span><span class="num">1024</span><span class="sym">]; -</span> <span class="kwb">FILE</span> <span class="sym">*</span>fp <span class="sym">=</span> NULL<span class="sym">; -</span> <span class="kwb">int</span> i <span class="sym">=</span> <span class="num">0</span><span class="sym">; - -</span> <span class="kwa">if</span> <span class="sym">(</span> argc <span class="sym">==</span> <span class="num">2</span> <span class="sym">) - { -</span> strcpy<span class="sym">(</span> dir<span class="sym">,</span> argv<span class="sym">[</span> <span class="num">1</span> <span class="sym">] ); - } -</span> <span class="kwa">else -</span> <span class="sym">{ -</span> <span class="kwa">if</span> <span class="sym">(</span> getenv<span class="sym">(</span> <span class="str">"HOME"</span> <span class="sym">) !=</span> NULL <span class="sym">) - { -</span> sprintf<span class="sym">(</span> dir<span class="sym">,</span> <span class="str">"%s"</span><span class="sym">,</span> getenv<span class="sym">(</span> <span class="str">"HOME"</span> <span class="sym">) ); - } -</span> <span class="kwa">else -</span> <span class="sym">{ -</span> strcpy<span class="sym">(</span> dir<span class="sym">,</span> <span class="str">"/"</span> <span class="sym">); - } - } - -</span> snprintf<span class="sym">(</span>cmd<span class="sym">,</span> <span class="kwa">sizeof</span><span class="sym">(</span>cmd<span class="sym">)-</span><span class="num">1</span><span class="sym">,</span> <span class="str">"%s %s"</span><span class="sym">,</span> <span class="str">"ls"</span><span class="sym">,</span> dir <span class="sym">); -</span> fp <span class="sym">=</span> popen<span class="sym">(</span> cmd<span class="sym">,</span> <span class="str">"r"</span> <span class="sym">); -</span> <span class="kwa">if</span> <span class="sym">(</span> fp <span class="sym">==</span> NULL <span class="sym">) - { -</span> printf<span class="sym">(</span><span class="str">"Failed to invoke: %s</span><span class="esc">\n</span><span class="str">"</span><span class="sym">,</span> cmd <span class="sym">); -</span> <span class="kwa">return</span> <span class="num">-1</span><span class="sym">; - } - -</span> <span class="kwa">while</span><span class="sym">(</span> i <span class="sym">=</span> fread<span class="sym">(</span> buff<span class="sym">,</span> <span class="num">1</span><span class="sym">,</span> <span class="kwa">sizeof</span><span class="sym">(</span>buff<span class="sym">),</span> fp <span class="sym">) ) - { -</span> printf<span class="sym">(</span> buff <span class="sym">); - } - -</span> pclose<span class="sym">(</span> fp <span class="sym">); - -</span> <span class="kwa">return</span> <span class="num">0</span><span class="sym">; -}</span> -</pre> -<hr> -<p> -HTML generated by <a href="http://www.andre-simon.de/">highlight 2.2-8</a><br> -<a href="https://packages.debian.org/highlight">Debian package highlight</a> -</p> -</body> -</html> -<!--HTML generated by highlight 2.2-8, http://www.andre-simon.de/--> diff --git a/english/security/audit/faq.wml b/english/security/audit/faq.wml deleted file mode 100644 index fd082e58051..00000000000 --- a/english/security/audit/faq.wml +++ /dev/null @@ -1,149 +0,0 @@ -#use wml::debian::template title="Debian Security Audit FAQ" -#use wml::debian::toc - -<p>This page lists some of the common questions -visitors may have when hearing of this project for the first time.</p> - -<toc-display> - -<toc-add-entry name="what">What is the Debian Security Audit -Project?</toc-add-entry> - -<p>The Debian Security Audit Project is a small project conducted -within the Debian project, designed to take a proactive stance towards -security by performing source code audits of the packages available to -Debian users.</p> - -<p>The audit is focussed upon the Debian stable distribution, with the -auditing work being directed by the <a href="packages">package -prioritization guidelines</a>.</p> - -<toc-add-entry name="start">When was the Debian Security Audit Project -started?</toc-add-entry> - -<p>The first advisory was released in December 2002, followed by a -series of additional advisories over time.</p> - -<p>It continued in an unofficial capacity until being granted an -<q>official</q> status in May 2004 by the Debian Project Leader, Martin -Michlmayr.</p> - -<toc-add-entry name="advisories-from-audit">Which advisories have -resulted from the auditing effort?</toc-add-entry> - -<p>There have been multiple advisories released as part of the -auditing work, all those which were released before the project was -given official status are listed in the <a href="advisories">Audit -Advisories page</a>.</p> - -<p>It is hoped that in the near future, publicly-known advisories from -the project after this time can be found by looking at the Debian -Security Advisory reports and searching for <q>Debian Security Audit -Project</q>.</p> - -<toc-add-entry name="advisories">Is all audit work related to -advisories?</toc-add-entry> - -<p>Actually no. There are many security issues that the audit process -has found that are not immediately exploitable (they might, however, -make a program crash). Some other exploitable security issues we've -found were not present in Debian's official stable release but were -present in the testing or unstable release. All of these are reported -through Debian's bug tracking system (and in some cases directly to -upstream authors). </p> - - -<toc-add-entry name="credit">Who has contributed to this work?</toc-add-entry> - -<p>Steve Kemp started the Debian Security Audit project, creating its -initial process, and tested it by finding many vulnerabilities.</p> - -<p>Ulf Härnhammar joined during this early unofficial time and found -several vulnerabilities which have since been fixed, Ulf was followed -shortly afterward by Swaraj Bontula and Javier Fernández-Sanguino -who also found several significant security problems.</p> - -<p><a href="http://www.dwheeler.com">David A. Wheeler</a> goaded Steve -Kemp into volunteering to lead it as an official Debian project, which -was made possible by the involvement of Debian Project Leader Martin -Michlmayr. David also made many helpful suggestions about the content -of these pages, directly contributing several sections.</p> - -<p>The <a href="$(HOME)/security">Debian Security -team</a> have been very helpful in making auditing succeed by making -sure that any vulnerabilities found are rapidly fixed and distributed -to the world.</p> - -<p>The following people have contributed at least one security advisory in the -name of the project:</p> - -#include "$(ENGLISHDIR)/security/audit/data/credits.inc" - -<p>More contributors are always welcome!</p> - - -<toc-add-entry name="contribute">How can I contribute?</toc-add-entry> - -<p>If you have the time and skills necessary to audit a package then -simply go ahead and do so!</p> - -<p>The <a href="auditing">auditing overview</a> should give you a good -idea of how to go about the job — any additional questions you might -have may be asked upon the -<a -href="https://lists.debian.org/debian-security/">debian-security -mailing list</a>.</p> - -# TODO - Old list, no longer available -# Ask Steve Kemp to provide archives and move them over to an official -# mailing list? -#<a -#href="http://shellcode.org/mailman/listinfo/debian-audit">debian-audit -#mailing list</a>.</p> - -<toc-add-entry name="mailinglist">Can I discuss specific packages upon the mailing list?</toc-add-entry> - -<p>It's best if you do not name packages containing problems which you -have discovered before a <a href="$(HOME)/security/">DSA</a> has been -released. As this allows malicious users to take advantage of any -flaws you describe before they are fixed.</p> - -<p>Instead the mailing list can be used to describe a piece of code -and ask for opinions on whether it is exploitable, and how it may be -fixed.</p> - -<toc-add-entry name="maintainer">How can I contribute as a package -maintainer?</toc-add-entry> - -<p>Package maintainers can help ensure the security of the software -that they package by looking over the code themselves, or asking for -help.</p> - -<p>Please see the <a href="maintainers">auditing for package -maintainers</a> overview.</p> - -<toc-add-entry name="reporting">How do I report a problem I -discover?</toc-add-entry> - -<p>There is a section in the <a href="$(HOME)/security/faq#discover">Security -Team FAQ</a> describing the process.</p> - -<toc-add-entry name="clean">Are packages audited and found clean -available?</toc-add-entry> - -<p>No, packages which have been examined and had no problems found -within them are not listed publicly.</p> - -<p>This is partly because there may well be problems lurking which -were missed and partly because the audits have been conducted by -several people without a great deal of coordination.</p> - -<toc-add-entry name="moreinfo">Where can I find more -information?</toc-add-entry> - -<p>There is currently no mailing list you can subscribe to ask -questions. For the time being, please use the -<a -href="https://lists.debian.org/debian-security/">debian-security -mailing list</a>.</p> - diff --git a/english/security/audit/index.wml b/english/security/audit/index.wml deleted file mode 100644 index e57fd82066d..00000000000 --- a/english/security/audit/index.wml +++ /dev/null @@ -1,51 +0,0 @@ -#use wml::debian::template title="Debian Security Audit Project" -#use wml::debian::recent_list - -<p>The Debian Security Audit Project is a project which is focused -upon auditing Debian packages for security issues.</p> - -<p>In the short time it has been running it has been responsible for -several <a href="$(HOME)/security/">Debian Security Advisories</a> -proving that this auditing process really works to improve Debian -security. It is hoped more advisories will result from future -work.</p> - -<p>By taking a proactive stance in auditing code we can help to ensure -that Debian continues its long history of taking security -seriously.</p> - - -<h2>Audit Scope</h2> - -<p>The aim of the project is to audit as many of the packages within -the Debian stable release as possible for potential flaws. Important -packages which are contained in the unstable distribution may also be -examined for flaws, decreasing the likelihood of insecure packages -entering the stable release in the first place.</p> - -<p>Due to the sheer size of the current Debian release it is -infeasible for a small team to be able to audit all the packages, so -there is a system of prioritizing packages which are more security -sensitive.</p> - -<p>The <a href="packages">package prioritization guidelines</a> -attempt to ensure that time is spent auditing the packages which -matter, and the <a href="tools">auditing tools overview</a> shows how -some of the available source code scanners may be used to guide an -audit.</p> - -<h2>Previously Released Advisories</h2> - -<p>For each package which has been found vulnerable to a security -problem there will be a <a href="$(HOME)/security/">DSA</a> released -by the Debian Security Team.</p> - -<p>For reference there is a <a href="advisories">list of previous -advisories</a> which have resulted directly from the auditing process.</p> - -<h2>Further Information</h2> - -<p>Further information on the project may be found in the <a -href="faq">Security Audit FAQ</a>.</p> - - diff --git a/english/security/audit/maintainers.wml b/english/security/audit/maintainers.wml deleted file mode 100644 index 47eb764e784..00000000000 --- a/english/security/audit/maintainers.wml +++ /dev/null @@ -1,53 +0,0 @@ -#use wml::debian::template title="Auditing For Package Maintainers" -#use wml::debian::recent_list - -<p>If you are the maintainer of a package which is contained in the -Debian archive please consider looking over the code yourself.</p> - -<p>The availability of <a href="tools">source code auditing tools</a> can ease this -process significantly, even if you don't have the time to do a -thorough audit yourself you can find areas which are potentially -problematic.</p> - -<p>If you require assistance, please contact either the -<a href="$(HOME)/security/#contact">Debian Security Team</a> or the (public) -<a -href="https://lists.debian.org/debian-security/">debian-security -mailing list</a> for assistance on how to conduct a source code audit.</p> - -# consider joining the <a -#href="http://shellcode.org/mailman/listinfo/debian-audit">debian-audit -#mailing list</a> and asking for a volunteer to look over your -#package.</p> - -<h2>Sources for maintainers</h2> - -<p>Maintainers wishing to review source code might be interested in -reading the Debconf6 paper <a -href="https://people.debian.org/~jfs/debconf6/security/weeding_security_bugs.pdf">Weeding -out security bugs in Debian</a> (<a href="https://people.debian.org/~jfs/debconf6/security/slides/weeding_security_bugs.slides.pdf">slides</a>) or the notes <a -href="https://people.debian.org/~jfs/debconf6/security/common-problems.txt">Short, -practical overview on how to find a few common mistakes in programs written in -various languages</a> (both documents written -by members of the audit project). -</p> - -<p>The <q>Weeding out security bugs in Debian</q> paper was presented in -Debconf6, Mexico, and was part of a workshop. For maintainers new to auditing -<a href="https://people.debian.org/~jfs/debconf6/security/samples/">the sample -code</a> and the <a -href="http://meetings-archive.debian.net/pub/debian-meetings/2006/debconf6/">workshop -videos</a> might be useful.</p> - -<h2>New Releases</h2> - -<p>As part of being a responsive maintainer you should also be keeping -an eye upon new releases of your package upstream. If the changelog -mentions a security problem you should attempt to see if you have a -version of the code in the stable distribution which is -vulnerable.</p> - -<p>If you do have a vulnerable version available in the stable -distribution then please contact the security team - as described <a -href="$(HOME)/security/faq">in the security team FAQ</a>.</p> - diff --git a/english/security/audit/make-advisories b/english/security/audit/make-advisories deleted file mode 100755 index c47a97643b9..00000000000 --- a/english/security/audit/make-advisories +++ /dev/null @@ -1,263 +0,0 @@ -#!/usr/bin/perl -w -# -# The purpose of this script is two-fold: -# -# 1. Generate a HTML file which may be included via wml, to describe -# each of the advisories produced in a given year. -# -# 2. Generate a list of globally unique names of people who have -# been credited with an advisory. -# -# The code is mostly trivial, and may be freely edited/copied/used/abused. -# -# Steve -# -- -# skx"debian.org - deliberate typo ;) -# -# - - -use strict; -use warnings; - -# -# Find the location of the data directory. -# -my $dir = shift; -die "No directory" unless( defined( $dir ) ); -die "No such directory $dir " unless( -d $dir ); - - -# -# This maintains a global list of everybody who has been mentioned -# in the 'credit=' line of one of our data-files -# -my %credits; - - - -# -# Process each file in the given directory which is named in the -# form NNNN.data -# -foreach my $file ( sort glob( "$dir/[0-9]*.data" ) ) -{ - my $input = $file; - my $output = $file; - - # - # Output file is NNNN.inc - # - if ( $output =~ /(.*)\.data$/ ) - { - $output = $1 . ".inc"; - } - - createAdvisories( $input, $output ); -} - - -# -# Now output the list of credits. -# -outputCredits(); - -# -# All done -# -exit; - - - -=begin doc - - Create the advisories from the given input file, and write the - HTML to the given output file. - -=end doc - -=cut - -sub createAdvisories -{ - my( $input, $output ) = ( @_ ); - - my %data = readData( $input ); - - outputAdvisories( $output, %data ); -} - - - -=begin doc - - Read the advisory data from the given input file, and return - it as a hash of hashes. - -=end doc - -=cut - -sub readData -{ - my( $file ) = (@_); - - # - # Data. - # - my %data; - - # - # Are we in a section, denoted by '[foo]'? And if so what it the name - # of that section. - # - my $inSection = 0; - my $section = ''; - - # - # Open the file. - # - open( INPUT, "<", $file ) - or die "Failed to open '$file' - $!"; - - while( my $line = <INPUT> ) - { - # skip blank / empty lines. - next if !defined($line); - - chomp($line); - - # - # If we're in a section already... - # - if (( $inSection ) && ( $section ) ) - { - # - # and the line is blank then we're at the end - # of a section. - # - if (!length($line )) - { - $inSection = 0; - $section = ''; - } - else - { - # otherwise we record the values. - my ($key, $val) = split( /=/, $line ); - - # stripping leading/trailing whitespace. - $key =~ s/^\s+//; - $key =~ s/\s+$//; - $val =~ s/^\s+//; - $val =~ s/\s+$//; - - # store it away. - $data{$section}->{$key} = $val; - - # special case for credits. - if ( $key && $key eq 'credit' ) - { - $credits{$val} += 1; - } - } - } - else - { - if ( $line =~ /^\[(.*)\]$/ ) - { - $inSection = 1; - $section = $1; - } - } - } - close( INPUT ); - return %data; -} - - - -=begin doc - - Output to the given file the advisories contained in the given - hash of hashes. - -=end doc - -=cut - -sub outputAdvisories -{ - my( $filename, %data ) = ( @_ ); - - open( OUT, ">", $filename ) - or die "Failed to write to '$filename' - $!"; - - # - # Cheap hacky way of making sure we found at least one advisory. - # - my $count = 0; - foreach my $dsa ( sort keys %data ) - { - $count += 1; - } - - # - # If we found one then output the details. - # - if ( $count ) - { - print OUT "<dl>\n"; - - foreach my $dsa ( sort keys %data ) - { - my $link = $data{$dsa}->{'link'} || undef; - my $type = $data{$dsa}->{'type'} || undef; - my $date = $data{$dsa}->{'date'} || undef; - my $credit = $data{$dsa}->{'credit'} || undef; - my $package = $data{$dsa}->{'package'} || undef; - - $dsa = uc($dsa); - if ( $link && $date && $type && $credit ) - { - print OUT <<EOF; - <dt>$date <a href="$link">$dsa - $package</a></dt> - <dd><p>$credit discovered that $package contained a $type vulnerability.</p></dd> -EOF - } - } - print OUT "</dl>\n"; - } - else - { - print OUT "<p>No advisories found.</p>\n"; - } - close( OUT ); -} - - - -=begin doc - - Output a list of sorted authors. - -=end doc - -=cut - -sub outputCredits -{ - open( OUT, ">", $dir . "/credits.inc" ) - or die "Failed to write to credits file: $!"; - - print OUT "<ul>\n"; - - foreach my $author ( sort keys %credits ) - { - print OUT "<li>$author</li>\n"; - } - - print OUT "</ul>\n"; - - close( OUT ); - } diff --git a/english/security/audit/packages.wml b/english/security/audit/packages.wml deleted file mode 100644 index 587bc54c260..00000000000 --- a/english/security/audit/packages.wml +++ /dev/null @@ -1,105 +0,0 @@ -#use wml::debian::template title="Auditing Package Prioritization Guidelines" -#use wml::debian::recent_list - -<p>When performing an audit of the Debian distribution one of the -first problems is deciding which packages to examine.</p> - -<p>Ideally all packages would be examined, but due to the sheer size -of the archive there has to be a simple way of prioritizing the -work.</p> - -<p>As a simple set of guidelines the packages worth examination first -are:</p> - -<ol> -<li>Any binary which is installed setuid or setgid.</li> - -<li>Anything which provides a service over a network.</li> - -<li>Any remotely accessible CGI/PHP scripts.</li> - -<li>Anything which contains a cronjob or other automated script which -runs with root privileges.</li> - -</ol> - -<p>Popular packages should generally receive a higher priority, since any - problems in them will affect a greater number of users.</p> - -<p>The <a href="https://popcon.debian.org/">Debian Popularity -Contest</a> keeps a running survey to show what packages are most -popular among the volunteers in the survey.</p> - -<p>In particular, take a look at the <a -href="https://popcon.debian.org/by_vote">packages sorted by vote</a>. -The <q>by vote</q> list ranks packages by how often they're used by the -people participating in the survey.</p> - -<p>If a package is important to security, especially if it meets one -of the criteria above, and it's popular (according to a survey like -this one), then it's <em>definitely</em> a candidate for review.</p> - - -<h2><tt>setuid</tt> and <tt>setgid</tt> binaries</h2> - -<p><tt>setuid</tt> and <tt>setgid</tt> binaries are the traditional -targets for security audits, as compromising a vulnerable binary with -either of these permissions can lead to a local user gaining access to -privileges they shouldn't otherwise have.</p> - -<p>To aid the search there is a list of all the setuid and setgid -binaries contained in the current stable release. -</p> - -<ul> - -<li><a href="https://lintian.debian.org/tags/setuid-binary.html">Lintian Report -of Setuid binaries in Debian</a></li> - -<li><a href="https://lintian.debian.org/tags/setgid-binary.html">Lintian Report -of Setgid binaries in Debian</a></li> - -</ul> - -# TODO (jfs): the above does not provide the same information as was available at -# http://shellcode.org/Setuid/ -# ask Steve Kemp to move this feature to a Debian-administered machine? -# (or to the Alioth project) -# - -<p>When it comes to choosing these binaries it's important to remember -that some such binaries are more security sensitive than others. -setuid(root) binaries should be examined ahead of setgid(games) and -setuid(bugs) for example.</p> - - -<h2>Network Servers</h2> - -<p>Networking servers are another obvious source of inspiration when -it comes to performing a security audit, as an exploitable problem in -them could lead to attackers compromising machines remotely.</p> - -<p>Remote compromises are usually much more severe than local -compromises.</p> - -<h2>Online Scripts</h2> - -<p>Online scripts, especially CGI scripts, are really in the same -class as network servers — although your webserver itself may be -secure the scripts which run upon it are just as important.</p> - -<p>A bug in a script that is available across the network is as -serious as a bug in a server listening for connections — both could -allow your machine to be compromised equally.</p> - -<h2>Cronjobs and system services</h2> - -<p>Whilst there aren't many of these around it's worth looking at the -automatic scripts, cronjobs, etc, which are included inside -packages.</p> - -<p>A lot of supporting things run as root by default for cleaning -logfiles, etc.</p> - -<p>Successful exploitation of a symlink attack could result in a local -compromise.</p> diff --git a/english/security/audit/tools.wml b/english/security/audit/tools.wml deleted file mode 100644 index baaeef82c4e..00000000000 --- a/english/security/audit/tools.wml +++ /dev/null @@ -1,148 +0,0 @@ -#use wml::debian::template title="Security Auditing Tools" -#use wml::debian::recent_list - -<p>There are several packages available within the Debian archive -which are designed to aid source code audits. These include:</p> - -<ul> -<li><a href="https://packages.debian.org/flawfinder">Flawfinder</a> -<ul> -<li><a href="examples/flawfinder">Sample flawfinder usage</a></li> -</ul></li> -<li><a href="http://archive.debian.net/woody/its4">ITS4</a> -<ul> -<li>There is no example for ITS4 as it has been removed from the unstable distribution.</li> -</ul></li> -<li><a href="https://packages.debian.org/rats">RATS</a> -<ul> -<li><a href="examples/RATS">Sample RATS usage</a></li> -</ul></li> -<li><a href="https://packages.debian.org/pscan">pscan</a> -<ul> -<li><a href="examples/pscan">Sample pscan usage</a></li> -</ul></li> -</ul> - -<p>Also, notice there are other tools specific to a given set of security -vulnerabilities which might not have been packaged for Debian yet but might -be useful for an auditor. These include:</p> - -<ul> -<li>Tools specific of XSS bugs: -<ul> -<li><a href="http://freecode.com/projects/xsslint/">Xsslint</a></li> -<li><a href="http://www.devitry.com/screamingCSS.html">ScreamingCSS</a></li> -</ul></li> -<li>Tools for testing web browsers: -<ul> -<li><a href="http://www.securityfocus.com/archive/1/378632">MangleMe</a></li> -</ul></li> -</ul> - -<p>None of the tools are perfect and can only be used as guidelines -for further study, but given how simple they are to use it is worth -taking the time to try them out.</p> - -<p>Each of the tools has different strengths and weaknesses so using -more than one is advisable.</p> - - -<h2>Flawfinder</h2> - -<p>flawfinder is a Python tool which is designed to analyze C and C++ -source code looking for potential security flaws.</p> - -<p>When ran against a directory containing source code it will output -a report of the potential problems it has detected, sorted by risk -(where <i>risk</i> is an integer 1–5). To tune out minor risks it is -possible to tell the program not to report about flaws below a -particular level of risk. By default the output will appear in plain -text, but an HTML report is also available.</p> - -<p>The program works by scanning the code and looking for the use of -functions which are contained inside its database of functions which -are commonly misused.</p> - -<p>To aid the reading of the report it is possible to cause the output -report to contain the line which contains the function being used, -this can be useful to immediately detect a problem, or likewise rule -it out.</p> - -<p>You can see an example of how flawfinder is used, and it's output -in the <a href="examples/">auditing examples section</a>.</p> - -<h2>ITS4</h2> - -<p>ITS4 is a tool contained in the non-free section of the Debian archive, -it is only available for the <q>woody</q> distribution.</p> - -<p>ITS4 may be used to scan both C and C++ code for potential security -holes, much like flawfinder.</p> - -<p>The output it produces tries to be intelligent, ruling out some of -the cases where the calls to dangerous functions have been made -carefully.</p> - - -<h2>RATS</h2> - -<p>RATS is a similar tool to those listed above, with the exception -that it comes with support for a much wider range of languages. -Currently it has support for C, C++, Perl, PHP and Python.</p> - -<p>The tool uses a simple XML file to read its vulnerabilities from -which makes it one of the easiest of the available tools to modify. -New functions can be added easily for each of the supported -languages.</p> - -<p>You can see an example of how RATS is used, and it's output in the -<a href="examples/">auditing examples section</a>.</p> - -<h2>pscan</h2> - -<p>pscan differs from the previous tools which have been described -because it is not a general purpose scanner at all. Instead it is a -program specifically aimed at detecting format string bugs.</p> - -<p>The tool will attempt to find potential issues with the use of -variadic functions within C and C++ source code, such as -<tt>printf</tt>, <tt>fprintf</tt> and <tt>syslog</tt>.</p> - -<p>Format string bugs are fairly simple to detect and fix, although -they are the most recent new class of software attacks the majority of -them have probably been found and repaired already.</p> - -<p>You can see an example of how pscan is used, and it's output in the -<a href="examples/">auditing examples section</a>.</p> - - -<h2>Understanding Scanner Output</h2> - -<p>Each of the general scanning tools will include output describing -the flaw detected, and possibly giving advice on how the code can be -fixed.</p> - -<p>For example the following is taken from the output of RATS -describing the dangers of <tt>getenv</tt>:</p> - -<p>"Environment variables are highly untrustable input. They may -be of any length, and contain any data. Do not make any assumptions -regarding content or length. If at all possible avoid using them, and -if it is necessary, sanitize them and truncate them to a reasonable -length."</p> - -<p>If you need any further advice on how to correct a hole which has -been reported you should study a book on programming securely, such as -the <a href="http://www.dwheeler.com/secure-programs/">Secure -Programming for Linux and Unix HOWTO</a> by David A. Wheeler.</p> - -<p>(Remember that when reporting security issues a patch closing the -hole is greatly appreciated)</p> - -<p>Discussion related to closing a particularly problematic piece of -code can also be held upon the -<a href="https://lists.debian.org/debian-security/">debian-security mailing -list</a>, as this is a public mailing list with public -archives just be careful not to make it obvious which program -contains the flaw.</p> - diff --git a/english/sitemap.wml b/english/sitemap.wml index 265d76781e8..be3db863e28 100644 --- a/english/sitemap.wml +++ b/english/sitemap.wml @@ -177,7 +177,6 @@ sub title_of { <div class="righthalf"> <ul> <li><linkto "security/"> - <li><linkto "security/audit/"> </ul> <ul> diff --git a/french/security/audit/2002/Makefile b/french/security/audit/2002/Makefile deleted file mode 100644 index ea01966a131..00000000000 --- a/french/security/audit/2002/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/french,webwml/english,$(CURDIR))/Makefile diff --git a/french/security/audit/2002/index.wml b/french/security/audit/2002/index.wml deleted file mode 100644 index 75994c60b10..00000000000 --- a/french/security/audit/2002/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Annonces d'audit de sécurité pour 2002" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Nicolas Bertolissio" - -<h2>Annonces publiées en 2002</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p> -Retour au <a href="..">projet d'audit</a>, ou à la <a -href="../advisories">liste des annonces</a>. -</p> diff --git a/french/security/audit/2003/Makefile b/french/security/audit/2003/Makefile deleted file mode 100644 index ea01966a131..00000000000 --- a/french/security/audit/2003/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/french,webwml/english,$(CURDIR))/Makefile diff --git a/french/security/audit/2003/index.wml b/french/security/audit/2003/index.wml deleted file mode 100644 index 98cb928a2f5..00000000000 --- a/french/security/audit/2003/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Annonces d'audit de sécurité pour 2003" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Nicolas Bertolissio" - -<h2>Annonces publiées en 2003</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2003.inc" - -<p> -Retour au <a href="..">projet d'audit</a>, ou à la <a -href="../advisories">liste des annonces</a>. -</p> diff --git a/french/security/audit/2004/Makefile b/french/security/audit/2004/Makefile deleted file mode 100644 index ea01966a131..00000000000 --- a/french/security/audit/2004/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/french,webwml/english,$(CURDIR))/Makefile diff --git a/french/security/audit/2004/index.wml b/french/security/audit/2004/index.wml deleted file mode 100644 index e5de5446c88..00000000000 --- a/french/security/audit/2004/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Annonces d'audit de sécurité pour 2004" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Nicolas Bertolissio" - -<h2>Annonces publiées en 2004</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2004.inc" - -<p> -Retour au <a href="..">projet d'audit</a>, ou à la <a -href="../advisories">liste des annonces</a>. -</p> diff --git a/french/security/audit/2005/Makefile b/french/security/audit/2005/Makefile deleted file mode 100644 index ea01966a131..00000000000 --- a/french/security/audit/2005/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/french,webwml/english,$(CURDIR))/Makefile diff --git a/french/security/audit/2005/index.wml b/french/security/audit/2005/index.wml deleted file mode 100644 index dcbd361a783..00000000000 --- a/french/security/audit/2005/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Annonces d'audit de sécurité pour 2005" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Nicolas Bertolissio" - -<h2>Annonces publiées en 2005</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2005.inc" - -<p> -Retour au <a href="..">projet d'audit</a>, ou à la <a -href="../advisories">liste des annonces</a>. -</p> diff --git a/french/security/audit/2006/Makefile b/french/security/audit/2006/Makefile deleted file mode 100644 index ea01966a131..00000000000 --- a/french/security/audit/2006/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/french,webwml/english,$(CURDIR))/Makefile diff --git a/french/security/audit/2006/index.wml b/french/security/audit/2006/index.wml deleted file mode 100644 index c0fc11d5543..00000000000 --- a/french/security/audit/2006/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Annonces d'audit de sécurité pour 2006" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Nicolas Bertolissio" - -<h2>Annonces publiées en 2006</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2006.inc" - -<p> -Retour au <a href="..">projet d'audit</a>, ou à la <a -href="../advisories">liste des annonces</a>. -</p> diff --git a/french/security/audit/2007/Makefile b/french/security/audit/2007/Makefile deleted file mode 100644 index ea01966a131..00000000000 --- a/french/security/audit/2007/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/french,webwml/english,$(CURDIR))/Makefile diff --git a/french/security/audit/2007/index.wml b/french/security/audit/2007/index.wml deleted file mode 100644 index fd04d696bcf..00000000000 --- a/french/security/audit/2007/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Annonces d'audit de sécurité pour 2007" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Nicolas Bertolissio" - -<h2>Annonces publiées en 2007</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2007.inc" - -<p> -Retour au <a href="..">projet d'audit</a>, ou à la <a -href="../advisories">liste des annonces</a>. -</p> diff --git a/french/security/audit/2008/Makefile b/french/security/audit/2008/Makefile deleted file mode 100644 index ea01966a131..00000000000 --- a/french/security/audit/2008/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/french,webwml/english,$(CURDIR))/Makefile diff --git a/french/security/audit/2008/index.wml b/french/security/audit/2008/index.wml deleted file mode 100644 index 1593eb07b8e..00000000000 --- a/french/security/audit/2008/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Annonces d'audit de sécurité pour 2008" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" maintainer="David Prévot" - -<h2>Annonces publiées en 2008</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2008.inc" - -<p> -Retour au <a href="..">projet d'audit</a>, ou à la <a -href="../advisories">liste des annonces</a>. -</p> diff --git a/french/security/audit/2009/Makefile b/french/security/audit/2009/Makefile deleted file mode 100644 index ea01966a131..00000000000 --- a/french/security/audit/2009/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/french,webwml/english,$(CURDIR))/Makefile diff --git a/french/security/audit/2009/index.wml b/french/security/audit/2009/index.wml deleted file mode 100644 index 48627cdd4a4..00000000000 --- a/french/security/audit/2009/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Annonces d'audit de sécurité pour 2009" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" maintainer="David Prévot" - -<h2>Annonces publiées en 2009</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p> -Retour au <a href="..">projet d'audit</a>, ou à la <a -href="../advisories">liste des annonces</a>. -</p> diff --git a/french/security/audit/2011/Makefile b/french/security/audit/2011/Makefile deleted file mode 100644 index ea01966a131..00000000000 --- a/french/security/audit/2011/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/french,webwml/english,$(CURDIR))/Makefile diff --git a/french/security/audit/2011/index.wml b/french/security/audit/2011/index.wml deleted file mode 100644 index c3cde03950b..00000000000 --- a/french/security/audit/2011/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Annonces d'audit de sécurité pour 2011" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="458c03fd57fc50534f97eccb28081fcc2c9cd180" maintainer="David Prévot" - -<h2>Annonces publiées en 2011</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" - -<p> -Retour au <a href="..">projet d'audit</a>, ou à la <a -href="../advisories">liste des annonces</a>. -</p> diff --git a/french/security/audit/Makefile b/french/security/audit/Makefile deleted file mode 100644 index ea01966a131..00000000000 --- a/french/security/audit/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/french,webwml/english,$(CURDIR))/Makefile diff --git a/french/security/audit/advisories.wml b/french/security/audit/advisories.wml deleted file mode 100644 index 76b832b56b5..00000000000 --- a/french/security/audit/advisories.wml +++ /dev/null @@ -1,24 +0,0 @@ -#use wml::debian::template title="Annonces de l'audit de sécurité" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0ad4d180b114f128c3363384351694a7bbe6a069" maintainer="Simon Paillard" - -<p> -Cette page offre une liste des dernières annonces de sécurité qui ont été publiées -par le projet suite aux efforts d'audit.</p> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Les annonces publiées les années précédentes sont également -disponibles :</p> - -<ul> -<li><a href="/security/audit/2011">2011</a></li> -<li><a href="/security/audit/2009">2009</a></li> -<li><a href="/security/audit/2008">2008</a></li> -<li><a href="/security/audit/2006">2006</a></li> -<li><a href="/security/audit/2005">2005</a></li> -<li><a href="/security/audit/2004">2004</a></li> -<li><a href="/security/audit/2003">2003</a></li> -<li><a href="/security/audit/2002">2002</a></li> -</ul> diff --git a/french/security/audit/auditing.wml b/french/security/audit/auditing.wml deleted file mode 100644 index 73c3d112422..00000000000 --- a/french/security/audit/auditing.wml +++ /dev/null @@ -1,159 +0,0 @@ -#use wml::debian::translation-check translation="0c51b8ff34c17868bd2f86ac91fef7abc581e1e9" maintainer="Simon Paillard" -#use wml::debian::template title="Conduire un audit" -#use wml::debian::recent_list - - -<p>Cette page donne une vue d'ensemble sommaire des étapes nécessaires pour -conduire un audit de paquet.</p> - -<p>La première étape est en fait celle du choix du paquet à examiner, vous -devriez choisir le plus critique en matière de sécurité.</p> - -<p>Allez voir <a href="$(HOME)/security/audit/packages">la liste des paquets -que nous considérons comme importants à contrôler</a> pour des suggestions pour -vous aider à vous décider.</p> - -<p>Il doit être clair que nous <em>n'essayons pas</em> de nous assurer qu'un -paquet n'est contrôlé qu'une seule fois. Si plusieurs personnes choisissent -d'examiner le même paquet, c'est une bonne chose, puisque cela démontre que de -nombreuses personnes considèrent le paquet comme sensible en matière de -sécurité.</p> - -<p>En autorisant une sélection des paquets essentiellement aléatoire, nous -simplifions la coordination et éliminons le problème du <q>comment -pouvez-vous faire confiance à la personne X pour faire un bon -travail ?</q> (nous n'en avons pas besoin puisqu'on suppose que tôt ou -tard, quelqu'un d'autre examinera le même programme).</p> - -<h2>Commencer l'audit</h2> - -<p>Après avoir sélectionné un paquet, vous devez commencer -véritablement l'audit.</p> - -<p>Si vous n'êtes pas sûr des types de problèmes à chercher, commencez -par lire un livre sur le développement de logiciels sûrs.</p> - -<p>Le guide <a href="http://www.dwheeler.com/secure-programs">Secure -Programming for Linux and Unix HOWTO</a> contient beaucoup de bonnes -informations qui peuvent vous aider. -<a href="http://www.securecoding.org/">Secure Coding: Principles & Practices</a> -par Mark G. Graff et Kenneth R. van Wyk est également un excellent livre.</p> - -<p>Bien que les outils ne soient pas parfaits, ils restent cependant très -utiles pour trouver des vulnérabilités. Allez voir <a href="tools">la page des -outils d'audit</a> pour plus d'informations sur certains outils d'audit et leur -utilisation.</p> - -<p>De la même façon que regarder le code en lui-même, c'est une bonne idée de -lire la documentation du paquet, d'essayer de l'installer et de l'utiliser.</p> - -<p>Cela doit vous permettre de penser à des moyens de déstabiliser le programme -dans ses opérations habituelles.</p> - -<h2>Signaler les problèmes</h2> - -<p>Si vous découvrez un problème dans le paquet que vous examinez, vous devriez -le signaler. Dans le rapport d'un bogue de sécurité, essayez de fournir un -correctif ; ainsi, les développeurs pourront le corriger dans les temps. -Il n'est pas nécessaire de fournir un exemple d'attaque (souvent appelé -<em>exploit</em> ou <em>proof of concept</em>) puisque le correctif devrait -parler de lui-même. C'est souvent mieux d'investir son temps dans la -réalisation d'un correctif propre plutôt que dans la fourniture d'une attaque -réussissant à exploiter le bogue.</p> - -<p>Voici une liste des étapes que nous vous recommandons de suivre si vous avez -trouvé un bogue de sécurité dans Debian :</p> - -<ol> - -<li>Essayez de produire un correctif au bogue ou de rassembler assez -d'informations pour que d'autres personnes puissent déterminer l'existence du -bogue. Idéalement, chaque rapport devrait contenir un correctif du problème -découvert, qui a été testé et confirmé comme réglant vraiment le problème. - -<p>Si vous n'avez pas de correctif, plus vous donnerez de détails sur l'étendue -du problème, sa gravité et les manières de le contourner, mieux ce -sera.</p></li> - -<li>Tout d'abord, regardez si le bogue de sécurité est présent dans l'actuelle -distribution stable de Debian, s'il peut être présent dans d'autres -distributions, ou dans la version fournie par les développeurs amont.</li> - -<li>En se basant sur la vérification précédente, signalez le problème : - -<ul> - -<li>aux responsables amont à travers l'adresse électronique de contact sur la -sécurité, en fournissant l'analyse et le correctif ;</li> - -<li>à l'équipe de sécurité de Debian si le bogue est présent dans une version -officielle de Debian. Typiquement, l'équipe de sécurité de Debian assignera une -<a href="$(HOME)/security/cve-compatibility">référence CVE</a> à la -vulnérabilité. L'équipe de sécurité se coordonnera avec toutes les autres -distributions Linux si nécessaire, et contactera le responsable de paquet de -votre part. Vous pouvez cependant envoyer une copie du courrier électronique -également au responsable de paquet. Procédez ainsi uniquement lors de -vulnérabilités à faible risque (voir ci-dessous) ;</li> - -<li>si le bogue n'est pas présent dans une version officielle de Debian, et que -l'application peut être dans d'autres distributions ou systèmes d'exploitation, -envoyez alors un courrier électronique -à <a href="http://oss-security.openwall.org/wiki/mailing-lists/oss-security">oss-security</a> -(une liste de diffusion publique pour rapporter et discuter des bogues de -sécurité dévoilés publiquement). Vous n'avez pas besoin -de le faire si vous avez déjà averti l'équipe de sécurité de Debian du bogue, -puisqu'ils le feront suivre à cette liste ;</li> - -<li>si le bogue n'est présent dans <strong>aucune</strong> version officielle -de Debian, et que vous êtes absolument sûr que l'application n'est -<strong>pas</strong> présente dans d'autres distributions ou systèmes -d'exploitation, alors signalez-le par le système de suivi des bogues.</li> - -</ul></li> - -<li>Une fois la vulnérabilité publique (c'est-à-dire que l'équipe de sécurité de Debian -ou un autre vendeur a publié une annonce), le bogue ainsi que toutes les -informations pertinentes devront être enregistrés dans le système de suivi des -bogues de Debian, pour garder la trace du problème de sécurité des versions non -officielles de Debian (c'est-à-dire <em>Sid</em> ou <em>Testing</em>). Ceci est -généralement effectué par l'équipe de sécurité elle-même ; si vous vous -apercevez que cela a été oublié, ou que vous n'avez pas rapporté le bogue -à l'équipe de sécurité, vous pouvez signaler le bogue vous-même. Assurez-vous -d'avoir marqué correctement le bogue (utilisez l'étiquette -<em>security</em>) et d'avoir choisi la bonne gravité (généralement -<em>grave</em> ou plus haute). Assurez-vous aussi que le titre du bogue -contienne la bonne <a href="$(HOME)/security/cve-compatibility">référence -CVE</a> s'il lui en a été attribué une. Cela fournit un moyen de garder la trace -des bogues de sécurité afin qu'ils soient corrigés à la fois dans les versions -officielles et non officielles de Debian.</li> - -<li>Si vous le souhaitez, une fois que la vulnérabilité est publiée, vous -pouvez transmettre l'information à des listes de diffusion publiques, comme -<a href="https://lists.grok.org.uk/mailman/listinfo/full-disclosure">full-disclosure</a> -ou <a href="http://www.securityfocus.com/archive/1">Bugtraq</a>.</li> - -</ol> - -<p>Vous remarquerez que ces étapes peuvent dépendre du risque associé à la -vulnérabilité trouvée. Vous devez évaluer le risque en vous basant sur :</p> - -<ul> -<li>le caractère distant ou local de la vulnérabilité ;</li> -<li>les conséquences d'une vulnérabilité exploitée ;</li> -<li>l'étendue d'utilisation du logiciel affecté par la vulnérabilité.</li> -</ul> - -<p>Ce n'est pas la même chose de rapporter, par exemple, une attaque locale par -lien symbolique qui ne peut être utilisée que par des utilisateurs -authentifiés, qui leur permet uniquement d'endommager le système, que de -rapporter une exploitation distante de dépassement de tampon, qui donne les -droits administrateur, et est présente dans un logiciel d'usage très -répandu.</p> - -<p>Dans la plupart des cas, puisque la plupart des bogues de sécurité ne -devraient pas être fermés avant qu'ils ne soient corrigés, <em>ne</em> les -signalez <em>pas</em> par l'habituel <a href="https://bugs.debian.org/">système -de suivi des bogues de Debian</a>, mais signalez plutôt le problème -directement à <a href="$(HOME)/security/">l'équipe de sécurité</a> qui -s'occupera de publier un paquet mis à jour, et une fois la correction -effectuée, de le rapporter dans le BTS.</p> diff --git a/french/security/audit/examples/Makefile b/french/security/audit/examples/Makefile deleted file mode 100644 index ea01966a131..00000000000 --- a/french/security/audit/examples/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/french,webwml/english,$(CURDIR))/Makefile diff --git a/french/security/audit/examples/RATS.wml b/french/security/audit/examples/RATS.wml deleted file mode 100644 index d99b4feef50..00000000000 --- a/french/security/audit/examples/RATS.wml +++ /dev/null @@ -1,140 +0,0 @@ -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Simon Paillard" -#use wml::debian::template title="Exemple d'audit automatisé : RATS" -#use wml::debian::recent_list - -<p><a href="https://packages.debian.org/rats">RATS</a> est un scanner -généraliste pour détecter des problèmes de sécurité potentiels dans de nombreux -langages de programmation.</p> - -<h2>Utiliser RATS</h2> -<p>Utiliser RATS est simple, cela se résume à l'invoquer avec le nom du -répertoire à examiner. Chaque fichier source reconnu sera examiné. RATS -comprend plusieurs langages de programmation : C, Perl, PHP et Python, et -traitera tous les fichiers source reconnus.</p> -<p>En plus de la liste du répertoire à examiner, il existe plusieurs options de -ligne de commande qui sont décrites dans la page du manuel.</p> -<p>Les options les plus utiles sont celles concernant la sortie, telles -que :</p> -<ul> -<li>--warning <niveau> (règle le niveau de failles à rapporter) -<ul> -<li>1 inclut seulement les vulnérabilités à risque moyen (niveau par défaut) et -à haut risque.</li> -<li>2 inclut les vulnérabilité à risque moyen (niveau par défaut).</li> -<li>3 inclut les vulnérabilités à risque faible.</li> -</ul></li> -<li>--xml (sortie en XML)</li> -<li>--html (sortie en HTML)</li> -</ul> -<p>En supposant que le <a href="test.c.html">fichier de test</a> est situé dans -le répertoire courant, sans autre fichier source nous pouvons invoquer le -scanner par la commande suivante :</p> -<pre> -rats --warning 1 --html . >sortie.html -</pre> -<p>Un fichier HTML contenant les résultats de l'examen sera produit, et pourra -être chargé dans un navigateur.</p> - -<h2>Les résultats</h2> -<p>Utiliser RATS sur notre <a href="test.c.html">code d'exemple</a> produit la -sortie suivante :</p> -<hr /> -<div class="sampleblock"> - -<h3>Severity: High</h3> -<p>Issue: fixed size global buffer</p> -<p> - Extra care should be taken to ensure that character arrays that are - allocated on the stack are used safely. They are prime targets for - buffer overflow attacks. -</p> -<p> -File: <b>test.c</b><br> -Lines: 10 11 12 -</p> - -<h3>Severity: High</h3> -<p>Issue: strcpy</p> -<p> - Check to be sure that argument 2 passed to this function call will not - copy more data than can be handled, resulting in a buffer overflow. - </p> -<p> -File: <b>test.c</b><br> -Lines: 18 -</p> - -<h3>Severity: High</h3> -<p>Issue: getenv</p> -<p>Environment variables are highly untrustable input. They may be of any length, and contain any data. Do not make any assumptions regarding content or length. If at all possible avoid using them, and if it is necessary, sanitize them and truncate them to a reasonable length. - </p> -<p> -File: <b>test.c</b><br> -Lines: 22 24 </p> - -<h3>Severity: High</h3> -<p>Issue: sprintf</p> -<p> - Check to be sure that the format string passed as argument 2 to this - function call does not come from an untrusted source that could have added - formatting characters that the code is not prepared to handle. - Additionally, the format string could contain `%s' without precision that - could result in a buffer overflow. -</p> -<p> -File: <b>test.c</b><br> -Lines: 24 </p> - -<h3>Severity: High</h3> -<p>Issue: popen</p> -<p> - Argument 1 to this function call should be checked to ensure that it does - not come from an untrusted source without first verifying that it contains - nothing dangerous. -</p> -<p> -File: <b>test.c</b><br> -Lines: 33 </p> - -<h3>Severity: High</h3> -<p> Issue: printf</p> -<p> - Check to be sure that the non-constant format string passed as argument 1 - to this function call does not come from an untrusted source that could - have added formatting characters that the code is not prepared to handle. -</p> -<p> -File: <b>test.c</b><br> -Lines: 42 </p> -<p> -Total lines analyzed: <b>49</b><br> -Total time <b>0.000288</b> seconds<br> -<b>170138</b> lines per second</p> -</div> -<hr /> -<p>La sortie produite est plutôt volumineuse, bien que le code en lui-même soit -très court. Cela montre un des revers de l'examen automatique de code : -le volume énorme des résultats produits.</p> - -<h2>Comprendre les résultats</h2> -<p>La sortie produite est en fait constituée de la description de chacune des -fonctions rencontrées, du numéro de la ligne où la faille a été détectée ainsi -que d'une description du problème. (Puisque nous avons utilisé -« --warning » pour restreindre la sortie aux fonctions à haut risque, -nous avons quelque peu réduit la longueur de la sortie).</p> - -<p>Chacun des problèmes découverts devrait être examiné manuellement pour voir -s'il y a vraiment un problème, ou si c'était un faux positif (ie. une fonction -susceptible d'être mal utilisée mais pourtant utilisée correctement).</p> - -<p>Dans ce cas-là, nous pouvons voir que toutes les vulnérabilités de notre -code ont été repérées, mais ce n'est pas vraiment clair sans parcourir le code -avec un éditeur pour faire correspondre les lignes en question.</p> - -<p>Une omission importante est faite dans la sortie : en effet, celle-ci -n'inclut pas les lignes concernées – un outil comme <a -href="flawfinder">flawfinder</a> vous permet de les inclure.</p> - -<hr /> -<p><a href="..">Retour à la page du projet d'audit</a> | <a href="index">Retour -à la page des exemples d'audit</a></p> diff --git a/french/security/audit/examples/flawfinder.wml b/french/security/audit/examples/flawfinder.wml deleted file mode 100644 index 329cd579b57..00000000000 --- a/french/security/audit/examples/flawfinder.wml +++ /dev/null @@ -1,104 +0,0 @@ -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Simon Paillard" -#use wml::debian::template title="Exemple d'audit automatisé : flawfinder" -#use wml::debian::recent_list - -<p><a href="https://packages.debian.org/flawfinder">flawfinder</a> est un outil -généraliste pour trouver et rapporter des défauts potentiels dans du code -source C et C++.</p> - - -<h2>Utiliser flawfinder</h2> -<p>Utiliser flawfinder est simple, cela se résume à l'invoquer avec le nom des -répertoires ou des fichiers à examiner. Pour un répertoire donné, l'outil -traitera tous les fichiers source qu'il trouvera dans le répertoire.</p> -<p>En plus de la liste des fichiers ou répertoires, il existe des options de -ligne de commande permettant de contrôler le comportement de l'outil.</p> -<p>Chacune des options est expliquée dans la page du manuel, mais les options -suivantes sont particulièrement utiles et seront utilisées dans notre -exemple :</p> -<ul> -<li>--minlevel=X -<ul> -<li>Règle à X le niveau minimum de risque d'affichage du défaut. Le niveau va -de 1 à 5, 1 pour le faible risque, à 5 pour le risque élevé.</li> -</ul></li> -<li>--html -<ul> -<li>Formate le résultat en HTML au lieu de texte simple.</li> -</ul></li> -<li>--context -<ul> -<li>Affiche le contexte, c'est-à-dire les lignes concernées par le défaut -potentiel.</li> -</ul></li> -</ul> - -<p>Pour obtenir dans un fichier HTML les résultats du programme, restreints aux -fonctions à haut risque, il faudrait utiliser quelque chose comme -cela :</p> -<pre> -flawfinder --html --context --minlevel=4 test.c > output.html -</pre> - -<h2>Les résultats</h2> -<p>Voici les résultats du traitement par flawfinder de notre -<a href="test.c.html">code d'exemple</a> :</p> - -<hr /> -<div class="sampleblock"> -<p> -Examining test.c <br> -<ul> -<li>test.c:18: <b> [4] </b> (buffer) <i> strcpy: - Does not check for buffer overflows when copying to destination. - Consider using strncpy or strlcpy (warning, strncpy is easily misused). </i> -<pre> - strcpy( dir, argv[ 1 ] ); -</pre> -<li>test.c:24: <b> [4] </b> (buffer) <i> sprintf: - Does not check for buffer overflows. Use snprintf or vsnprintf. </i> - -<pre> - sprintf( dir, "%s", getenv( "HOME" ) ); -</pre> -<li>test.c:33: <b> [4] </b> (shell) <i> popen: - This causes a new program to execute and is difficult to use safely. - try using a library call that implements the same functionality if - available. </i> -<pre> - fp = popen( cmd, "r" ); -</pre> -<li>test.c:42: <b> [4] </b> (format) <i> printf: - If format strings can be influenced by an attacker, they can be - exploited. Use a constant for the format specification. </i> - -<pre> - printf( buff ); -</pre> -</ul> -<p> -Number of hits = 4 -<br> -Number of Lines Analyzed = 48 in 0.53 seconds (1392 lines/second) -<br> -</div> -<hr /> - -<h2>Comprendre les résultats</h2> -<p>De la même façon que pour <a href="RATS">RATS</a>, ce rapport est très -simple à lire. Il montre clairement quelles fonctions ont été détectées comme -potentiellement dangereuses, ainsi que la description du problème.</p> - -<p>L'inclusion des informations de contexte est également très utile -puisqu'elle attire immédiatement l'attention sur les zones concernées, et -exclue les autres rapports comme étant invalides.</p> - -<p>L'analyse de notre <a href="test.c">code d'exemple</a> est assez -intelligente, dans le sens où elle n'avertit pas de <i>toute</i> utilisation de -la fonction <tt>strcpy</tt> qui peut s'avérer ennuyeuse - mais seulement celles -repérées comme potentiellement dangereuses.</p> -<p>De cette façon, flawfinder a réussi à mettre en évidence tous les défauts de -notre code, sans faux positifs.</p> -<hr /> -<p><a href="..">Retour à la page du projet d'audit</a> | <a href="index">Retour -à la page des exemples d'audit</a></p> diff --git a/french/security/audit/examples/index.wml b/french/security/audit/examples/index.wml deleted file mode 100644 index 80471d963b0..00000000000 --- a/french/security/audit/examples/index.wml +++ /dev/null @@ -1,20 +0,0 @@ -#use wml::debian::translation-check translation="6097aaeb789f09a86133073acab93480df51405c" maintainer="DFS Task Force" -#use wml::debian::template title="Exemples d'audit automatisé" -#use wml::debian::recent_list - -<p>Comme la <a href="../tools">page sur les outils d'audit</a> l'expliquait, -plusieurs paquets disponibles dans l'archive Debian permettent d'auditer -automatiquement du code source.</p> - -<h2>Exemples d'audit</h2> -<p>Chacun des outils suivants est testé avec la même portion de -<a href="test.c.html">code créé avec des bogues</a>. On peut ainsi comparer -directement le résultat fourni par chacun des programmes.</p> -<p>Le code a été analysé avec les trois outils suivants :</p> -<ul> -<li><a href="flawfinder">flawfinder</a></li> -<li><a href="RATS">RATS</a></li> -<li><a href="pscan">pscan</a></li> -</ul> -<hr /> -<p><a href="..">Retour à la page du projet d'audit</a></p> diff --git a/french/security/audit/examples/pscan.wml b/french/security/audit/examples/pscan.wml deleted file mode 100644 index 7d2e275af33..00000000000 --- a/french/security/audit/examples/pscan.wml +++ /dev/null @@ -1,52 +0,0 @@ -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Simon Paillard" -#use wml::debian::template title="Exemple d'audit automatisé : pscan" -#use wml::debian::recent_list - -<p><a href="https://packages.debian.org/pscan">pscan</a> est un paquet destiné -à auditer des fichiers de code source C et C++ à la recherche de vulnérabilités -sur le format des chaînes de caractères.</p> -<p>Ce n'est pas un outil d'audit à but général.</p> - -<h2>Utiliser pscan</h2> -<p>Utiliser pscan revient tout simplement à l'invoquer avec le nom du ou des -fichiers à vérifier. Par exemple :</p> -<pre> -pscan <a href="test.c.html">test.c</a> -</pre> -<p>Le résultat sera directement affiché dans la console :</p> -<hr /> -<samp> -test.c:42 SECURITY: printf call should have "%s" as argument 0 -</samp> -<hr /> - -<h2>Le résultat</h2> -<p>Le résultat dans ce cas est facile à comprendre. Il a correctement identifié -le fait que l'appel <tt>printf</tt> ne citait pas ses arguments -correctement.</p> -<p>Le résultat nous montre également comment corriger le problème, en changeant -le code qui lit : -<pre> -printf( buff ); -</pre> -<p>Pour lire :</p> -<pre> -printf( "%s", buff ); -</pre> -<p>Ne pas faire ainsi permettrait à un attaquant pouvant contrôler la sortie de -<tt>ls</tt> d'attaquer le programme, en créant un fichier nommé "%s", ou -similaire.</p> -<p>Les attaques sur le format des chaînes de caractères sont traitées dans -cette <a href="http://www.securityfocus.com/guest/3342">introduction de -Security Focus</a>.</p> -<p>Le guide <a href="http://www.dwheeler.com/secure-programs/">Secure -Programming for Linux and Unix HOWTO</a> explique comment se protéger des -attaques dans les fonctions variadiques habituelles, telles que :</p> -<ul> -<li>printf</li> -<li>fprintf</li> -<li>syslog</li> -</ul> -<hr /> -<p><a href="..">Retour à la page du projet d'audit</a> | <a href="index">Retour -à la page des exemples d'audit</a></p> diff --git a/french/security/audit/faq.wml b/french/security/audit/faq.wml deleted file mode 100644 index 6756e80a335..00000000000 --- a/french/security/audit/faq.wml +++ /dev/null @@ -1,134 +0,0 @@ -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" maintainer="Simon Paillard" -#use wml::debian::template title="FAQ de l'audit de sécurité de Debian" -#use wml::debian::toc - -<p>Cette page liste les questions habituelles des visiteurs qui entendent -parler de ce projet pour la première fois.</p> - -<toc-display> - -<toc-add-entry name="what">Qu'est-ce que le projet d'audit de sécurité de Debian ?</toc-add-entry> - -<p>Le projet d'audit de sécurité de Debian est un petit projet mené au sein du -projet Debian, destiné à avoir une démarche proactive vis à vis de la -sécurité, en effectuant des audits du code source des paquets mis -à disposition des utilisateurs de Debian.</p> - -<p>L'audit se focalise sur la distribution stable de Debian, le travail d'audit -étant orienté par les <a href="packages">recommandations sur la priorité -d'audit des paquets</a>.</p> - -<toc-add-entry name="start">Quand le projet d'audit de sécurité de Debian a-t-il démarré ?</toc-add-entry> - -<p>La première annonce de sécurité est sortie en décembre 2002, suivie par -une série d'annonces supplémentaires avec le temps.</p> - -<p>Le projet a continué sous forme officieuse jusqu'à ce qu'il soit officialisé -en mai 2004 par le chef du projet Debian, Martin Michlmayr.</p> - -<toc-add-entry name="advisories-from-audit">Quelles annonces proviennent de l'effort d'audit ?</toc-add-entry> - -<p>Il y a eu de multiples annonces diffusées en tant que résultats du travail -d'audit. Celles diffusées avant que le projet devienne officiel sont listées -sur la <a href="advisories">page des annonces de l'audit de sécurité</a>.</p> - -<p>On espère dans un futur proche que les annonces connues comme issues du -projet pourront être trouvées en cherchant <q>Debian Security Audit -Projet</q> dans les rapports des annonces de sécurité de Debian.</p> - -<toc-add-entry name="advisories">Tout le travail d'audit porte sur les annonces de sécurité ?</toc-add-entry> - -<p>En fait non. Beaucoup de problèmes de sécurité que la procédure d'audit a -trouvés ne sont pas immédiatement exploitables (cependant, ils peuvent -interrompre le programme). D'autres problèmes de sécurité exploitables que nous -avons trouvés ne sont pas présents dans la version stable officielle de Debian, -mais dans les versions de test (<i>Testing</i>) ou instable (<em>Sid</em>). Tous -ces problèmes sont remontés à travers le système de suivi des bogues de Debian -(et dans certains cas directement aux développeurs amont).</p> - -<toc-add-entry name="credit">Qui a contribué à ce travail ?</toc-add-entry> - -<p>Steve Kemp a démarré le projet d'audit de sécurité de Debian, créant ses -premières procédures, et les a testées en trouvant de nombreuses -vulnérabilités.</p> - -<p>Ulf Härnhammar a rejoint le projet à ses débuts non officiels et a trouvé -plusieurs vulnérabilités qui ont été corrigées depuis. Ulf fut rapidement suivi -par Swaraj Bontula et Javier Fernández-Sanguino qui ont également découvert des -problèmes de sécurité significatifs.</p> - -<p><a href="http://www.dwheeler.com">David A. Wheeler</a> incita Steve Kemp -à proposer l'officialisation du projet comme projet Debian, ce qui fut rendu -possible par l'implication du chef du projet Debian, Martin Michlmayr. David -fit également de nombreuses suggestions utiles sur le contenu de ces pages, et -contribua directement à plusieurs sections.</p> - -<p>L'<a href="$(HOME)/security">équipe de sécurité de Debian</a> a été très -utile dans la réussite de l'audit, en s'assurant que toutes les vulnérabilités -trouvées étaient rapidement corrigées et que les corrections étaient rapidement -diffusées dans le monde.</p> - -<p>Les personnes suivantes ont déjà contribué à au moins une annonce de -sécurité au nom du projet :</p> - -#include "$(ENGLISHDIR)/security/audit/data/credits.inc" - -<p>Les nouveaux contributeurs sont toujours les bienvenus !</p> - - -<toc-add-entry name="contribute">Comment puis-je contribuer ?</toc-add-entry> - -<p>Si vous avez le temps et les compétences nécessaires pour auditer un paquet, -alors lancez-vous !</p> - -<p>La <a href="auditing">présentation de l'audit</a> devrait vous donner une -bonne idée de la manière de travailler — pour toute question -supplémentaire, vous devriez la poser sur la -<a href="https://lists.debian.org/debian-security/">liste de diffusion -debian-security</a>. -</p> - -<toc-add-entry name="mailinglist">Puis-je discuter de paquets spécifiques sur la liste de diffusion ?</toc-add-entry> - -<p>Il est préférable que vous ne nommiez pas les paquets contenant les -problèmes que vous avez découverts avant qu'une -<a href="$(HOME)/security/">DSA</a> ne soit publiée. Cela permettrait aux -utilisateurs malveillants d'exploiter les failles que vous décririez avant -qu'elles soient corrigées.</p> - -<p>En revanche, la liste de diffusion peut être utilisée pour décrire un bout -de code et demander des avis sur son caractère exploitable, et la manière de le -corriger.</p> - -<toc-add-entry name="maintainer">Comment puis-je contribuer comme mainteneur de paquet ?</toc-add-entry> - -<p>Les mainteneurs de paquet peuvent aider à assurer la sécurité du logiciel -qu'ils empaquettent en regardant eux-même au code, ou en demandant de -l'aide.</p> - -<p>Veuillez regarder la page sur <a href="maintainers">l'audit pour les -mainteneurs de paquets</a>.</p> - -<toc-add-entry name="reporting">Comment rapporter un problème que j'ai découvert ?</toc-add-entry> - -<p>Une section dans la <a href="$(HOME)/security/faq#discover">FAQ de l'équipe -Debian sur la sécurité</a> décrit la procédure.</p> - -<toc-add-entry name="clean">La liste des paquets audités qui n'ont pas de problème est-elle disponible ?</toc-add-entry> - -<p>Non, les paquets qui ont été examinés et pour lesquels aucun problème n'a -été trouvé ne sont pas listés publiquement.</p> - -<p>C'est en partie car des problèmes tapis pourraient avoir été oubliés, et en -partie car les audits sont conduits par plusieurs personnes, sans beaucoup de -coordination.</p> - -<toc-add-entry name="moreinfo">Où puis-je trouver plus d'informations ?</toc-add-entry> - -<p> -Il n'existe pour l'instant aucune liste de diffusion à laquelle s'abonner -pour poser des questions. -En attendant, veuillez utiliser la <a -href="https://lists.debian.org/debian-security/">\ -liste de diffusion debian-security</a>. -</p> diff --git a/french/security/audit/index.wml b/french/security/audit/index.wml deleted file mode 100644 index 08160bf2818..00000000000 --- a/french/security/audit/index.wml +++ /dev/null @@ -1,51 +0,0 @@ -#use wml::debian::template title="Projet d'audit de sécurité de Debian" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="57f73cd8cc7f0c94f280e3444c075d201e8d42a8" maintainer="Simon Paillard" - -<p>Le projet d'audit de sécurité de Debian (<em>Debian Security Audit -Project</em>) est un projet qui se concentre sur l'audit des -problématiques de sécurité des paquets Debian.</p> - -<p>Même si ce projet est très récent, il a émis plusieurs -<a href="$(HOME)/security/">annonces de sécurité Debian</a> (<em>DSA</em>), -prouvant que ce processus d'audit fonctionne réellement en vue d'améliorer -la sécurité de Debian. On espère que d'autres annonces seront le résultat -du travail à venir.</p> - -<p>En prenant une position proactive dans l'audit de code, nous aidons Debian -à prendre la sécurité au sérieux.</p> - - -<h2>Portée de l'audit</h2> - -<p>Le but de ce projet est d'auditer le plus de paquets inclus dans la -version stable de Debian contre de potentielles failles. Les paquets principaux -qui sont dans la version instable seront aussi examinés afin de limiter à -terme l'entrée de nouveaux paquets non sécurisés dans la version stable.</p> - -<p>Vu la taille actuelle de la version stable de Debian, il n'est pas -possible pour une petite équipe d'auditer tous les paquets. Ainsi il y a un -système de priorité des paquets pour sécuriser ceux qui sont les plus -sensibles.</p> - -<p>Les <a href="packages">directives de définition des priorités des paquets</a> tentent -d'assurer que le temps est dépensé en auditant les paquets qui comptent. -L'<a href="tools">aperçu des outils d'audit</a> montre comment les quelques -analyseurs de code source disponibles peuvent être utilisés pour réaliser -cet audit.</p> - -<h2>Annonces déjà publiées</h2> - -<p>Pour chaque paquet vulnérable à un problème de sécurité, une -<a href="$(HOME)/security/">DSA</a> est publiée par l'équipe de sécurité de -Debian.</p> - -<p>Pour référence, il y a une <a href="advisories">liste des annonces déjà -fournies</a> qui sont le résultat direct du processus d'audit.</p> - -<h2>Plus d'informations</h2> - -<p>Plus d'informations sur ce projet sont disponibles dans la -<a href="faq">FAQ sur l'audit de sécurité</a>.</p> - - diff --git a/french/security/audit/maintainers.wml b/french/security/audit/maintainers.wml deleted file mode 100644 index 6f47095beab..00000000000 --- a/french/security/audit/maintainers.wml +++ /dev/null @@ -1,66 +0,0 @@ -#use wml::debian::template title="Audit pour les responsables de paquets" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="534d1b782cfb92f46dc41fd064f779fffc329b12" maintainer="David Prévot" - -# Translators: -# Thomas Marteau, 2004. -# David Prévot, 2011. - -<p>Si vous êtes le responsable d'un paquet qui est dans l'archive Debian, -veuillez penser à regarder le code vous-même. -</p> - -<p> -La disponibilité du <a href="tools">code source -des outils d'audit</a> peut faciliter ce -processus de manière significative. Même si vous n'avez pas le temps de mener -un audit minutieux vous-même, vous pouvez trouver des zones qui sont -potentiellement problématiques.</p> - -<p> -Si vous avez besoin d'aide, veuillez contacter l'<a -href="$(HOME)/security/#contact">équipe en charge de la sécurité de -Debian</a> ou la <a href="https://lists.debian.org/debian-security/">\ -liste de diffusion debian-security</a> (publique) pour demander -de l'aide sur la façon de mener un audit du code source. -</p> - - -<h2>Sources pour les responsables</h2> -<p> -Les responsables désirant vérifier le code source -pourraient être intéressés par l'article <a -href="https://people.debian.org/~jfs/debconf6/security/weeding_security_bugs.pdf">\ -Éliminer les bogues de sécurité dans Debian (en anglais)</a> (<a -href="https://people.debian.org/~jfs/debconf6/security/slides/weeding_security_bugs.slides.pdf">\ -diapositives</a>) de Debconf 6 ou les notes <a -href="https://people.debian.org/~jfs/debconf6/security/common-problems.txt">\ -Tour d'horizon rapide et pratique sur la façon de -découvrir quelques erreurs habituelles dans les programmes -écrits dans différents langages (en anglais)</a> (les deux -documents ont été écrits par des membres du projet d'audit). -</p> - -<p> -L'article <q>Éliminer les bogues de sécurité dans Debian</q> a été -présenté à Mexico lors de Debconf 6 et faisait partie d'un atelier. - -Les responsables non familiers avec l'audit pourraient être intéressés par -les <a href="https://people.debian.org/~jfs/debconf6/security/samples/">\ -exemples de code</a> et les <a -href="http://meetings-archive.debian.net/pub/debian-meetings/2006/debconf6/">\ -vidéos de l'atelier</a>. -</p> - - -<h2>Nouvelles sorties</h2> -<p> -Pour être un responsable réactif, il faut aussi avoir un -œil sur les sorties des nouvelles versions du code original. Si le journal -des changements mentionne un problème de sécurité, vous devriez tester -si la version dans la distribution stable est vulnérable.</p> -<p>Si la version disponible dans la distribution stable est vulnérable, -il faut alors contacter l'équipe de sécurité (comme décrit dans la -<a href="$(HOME)/security/faq">FAQ de l'équipe de sécurité)</a>. -</p> - diff --git a/french/security/audit/packages.wml b/french/security/audit/packages.wml deleted file mode 100644 index b24d72e93e9..00000000000 --- a/french/security/audit/packages.wml +++ /dev/null @@ -1,110 +0,0 @@ -#use wml::debian::translation-check translation="8536cf419447d00f034a8e3ad9efa6a243462fe7" maintainer="Simon Paillard" -#use wml::debian::template title="Recommandations sur la priorité d'audit des paquets" -#use wml::debian::recent_list - -<p>Lors de l'audit de la distribution Debian, l'un des premiers problèmes est -de décider quels paquets il faut examiner.</p> - -<p>Idéalement, tous les paquets devraient être examinés, mais la taille -manifeste de l'archive nécessite de trouver un moyen simple d'ordonner le -travail.</p> - -<p>Comme premières recommandations simples, voici les paquets qui valent la -peine d'être examinés :</p> - -<ol> -<li> -tout binaire installé en mode <tt>setuid</tt> ou <tt>setgid</tt> ; -</li> -<li> -tout élément fournissant un service accessible par le réseau ; -</li> -<li> -tout script CGI/PHP accessible à distance ; -</li> -<li> -tout élément contenant une tâche <em>cron</em> ou un autre type de script -automatisé qui fonctionne avec les droits du superutilisateur. -</li> -</ol> - -<p>Les paquets couramment utilisés devraient être traités plus prioritairement, -puisqu'un problème toucherait un plus grand nombre d'utilisateurs.</p> - -<p>Le <a href="https://popcon.debian.org/">concours de popularité Debian</a> a -pour rôle de montrer quels sont les paquets les plus populaires chez les -volontaires participant au sondage.</p> - -<p>En particulier, jetez un coup d'œil aux <a -href="https://popcon.debian.org/by_vote">paquets triés par vote</a>. La liste -<q>par vote</q> classe les paquets par fréquence d'utilisation chez les -gens participant au sondage.</p> - -<p>Si un paquet est important du point de vue de sa sécurité, plus -particulièrement s'il remplit un des critères ci-dessus, et qu'il est populaire -(d'après un sondage comme celui-ci), c'est <em>définitivement</em> un candidat -à l'audit.</p> - - -<h2>Les binaires en mode <tt>setuid</tt> ou <tt>setgid</tt></h2> - -<p>Les binaires en mode <tt>setuid</tt> ou <tt>setgid</tt> sont les cibles -habituelles des audits de sécurité, puisque la compromission d'un binaire avec -de telles permissions permet à un utilisateur local d'accéder à des privilèges -qu'il n'aurait pas atteints autrement.</p> - -<p>Afin de faciliter la recherche, une liste des binaires en mode -<tt>setuid</tt> ou <tt>setgid</tt> de l'actuelle distribution stable est -disponible : -</p> - -<ul> - -<li> -<a href="https://lintian.debian.org/tags/setuid-binary.html">compte-rendu -de Lintian pour les binaires <tt>setuid</tt> dans Debian</a> ; -</li> - -<li> -<a href="https://lintian.debian.org/tags/setgid-binary.html">compte-rendu -de Lintian pour les binaires <tt>setgid</tt> dans Debian</a>. -</li> - -</ul> - -<p>Quand vient le choix de ces binaires, il est important de se rappeler que -certains binaires sont plus sensibles que d'autres. Les binaires <tt>setuid -root</tt> devraient être examinés avant ceux <tt>setgid games</tt> ou -<tt>setuid bugs</tt> par exemple.</p> - -<h2>Les serveurs de réseau</h2> - -<p>Les serveurs de réseau sont un autre objet évident d'attention lors d'un -audit de sécurité, puisqu'une faille permettrait la compromission des machines -à distance.</p> - -<p>Les compromissions distantes sont généralement plus graves que les -locales.</p> - -<h2>Scripts accessibles en ligne</h2> - -<p>La sécurité des scripts en ligne, spécialement les scripts CGI, est vraiment -aussi importante que celle des serveurs de réseau. En effet, bien que le -serveur web lui-même puisse être sécurisé, la sécurité des scripts qui y -tournent est aussi importante.</p> - -<p>Un bogue dans un script disponible par le réseau est aussi grave qu'un bogue -dans un serveur à l'écoute des connexions : les deux peuvent compromettre -une machine aussi sérieusement.</p> - -<h2>Les tâches <em>cron</em> et les services systèmes</h2> - -<p>Bien qu'ils ne soient pas très nombreux, cela vaut la peine de regarder les -scripts automatiques, les tâches <em>cron</em>, etc., qui sont inclus dans -les paquets.</p> - -<p>Beaucoup d'outils de support se lancent par défaut en tant que -superutilisateur pour le nettoyage des journaux d'événements.</p> - -<p>Une attaque de type lien symbolique réussie peut mener à une compromission -locale.</p> diff --git a/french/security/audit/tools.wml b/french/security/audit/tools.wml deleted file mode 100644 index 73b50379110..00000000000 --- a/french/security/audit/tools.wml +++ /dev/null @@ -1,167 +0,0 @@ -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Simon Paillard" -#use wml::debian::template title="Outils d'audit de sécurité" -#use wml::debian::recent_list - -<p>Plusieurs paquets disponibles dans l'archive Debian sont destinés -à faciliter les audits de code source. Sont inclus :</p> - -<ul> -<li><a href="https://packages.debian.org/flawfinder">Flawfinder</a> -<ul> -<li><a href="examples/flawfinder">Exemple d'utilisation de flawfinder</a></li> -</ul></li> -<li><a href="http://archive.debian.net/woody/its4">ITS4</a> -<ul> -<li>Il n'y a pas d'exemple fourni pour ITS4 puisque celui-ci a été enlevé de la -distribution unstable (<em>Sid</em>).</li> -</ul> -</li> -<li><a href="https://packages.debian.org/rats">RATS</a> -<ul> -<li><a href="examples/RATS">Exemple d'utilisation de RATS</a></li> -</ul></li> -<li><a href="https://packages.debian.org/pscan">pscan</a> -<ul> -<li><a href="examples/pscan">Exemple d'utilisation de pscan</a></li> -</ul></li> -</ul> - -<p>De plus, il existe d'autres outils spécifiques à un domaine spécifique des -vulnérabilités, qui n'ont pas encore été empaquetés pour Debian mais peuvent -néanmoins être utiles à un auditeur, notamment : -</p> - -<ul> -<li> -outils relatifs aux bogues XSS : -<ul> -<li> -<a href="http://freecode.com/projects/xsslint/">Xsslint</a> ; -</li> -<li> -<a href="http://www.devitry.com/screamingCSS.html">ScreamingCSS</a> ; -</li> -</ul></li> -<li>outils de test de navigateur web : -<ul> -<li> -<a href="http://www.securityfocus.com/archive/1/378632">MangleMe</a>. -</li> -</ul></li> -</ul> - - -<p>Aucun de ces outils n'est parfait. Ils ne peuvent être utilisés que comme -point de départ pour des études plus poussées. Mais étant donné leur simplicité -d'utilisation, cela vaut le coup de passer du temps à les essayer.</p> - -<p>Chaque outil a ses avantages et ses inconvénients. C'est pourquoi il est -recommandé d'en utiliser plus d'un.</p> - -<h2>Flawfinder</h2> - -<p>flawfinder est un outil codé en Python destiné à analyser du code source C -et C++ à la recherche de défauts de sécurité potentiels.</p> - -<p>Lorsqu'il est exécuté dans un répertoire contenant du code source, la liste -des problèmes potentiels détectés est générée, triés par risque (où la variable -<i>risk</i> est un entier entre 1 et 5). Pour ignorer les risques mineurs, il -est possible de configurer le programme pour ne pas lister les défauts en -dessous d'un certain niveau de risque. Par défaut, la sortie sera formatée en -texte brut, mais une sortie au format HTML est également disponible.</p> - -<p>Le programme fonctionne en parcourant le code à la recherche de fonctions -connues pour être couramment mal utilisées.</p> - -<p>Afin de faciliter la lecture du rapport, il est possible de générer un -rapport contenant la ligne du code source, contenant la fonction utilisée. Cela -peut être utile pour détecter immédiatement un problème, ou également -l'éliminer.</p> - -<p>Vous pouvez voir un exemple de la façon dont est utilisé flawfinder, ainsi -que le rapport qu'il génère dans la <a href="examples/">section des exemples -d'audit</a>.</p> - -<h2>ITS4</h2> - -<p>ITS4 est un outil appartenant à la section <i>non-free</i> de l'archive -Debian, qui est disponible uniquement pour la distribution <q>Woody</q>. -</p> - -<p>ITS4 peut être utilisé pour chercher dans du code source C et C++ de -potentielles failles de sécurité, de même que flawfinder.</p> - -<p>Le rapport généré essaie d'être pertinent, en excluant une partie des cas où -les appels à des fonctions dangereuses ont été faits avec précaution.</p> - - -<h2>RATS</h2> - -<p> -RATS est un outil similaire à ceux de la liste ci-dessus, excepté qu'il prend -en charge plus de langages. Sont actuellement gérés : C, C++, Perl, PHP et -Python.</p> - -<p>Cet outil utilise un simple fichier XML pour obtenir les vulnérabilités, ce -qui en fait l'outil le plus simple à modifier. De nouvelles fonctions peuvent -être ajoutées facilement pour chaque langage pris en charge. -</p> - -<p>Vous pouvez voir un exemple d'utilisation de RATS et le rapport généré dans -la <a href="examples/">section des exemples d'audit</a>.</p> - -<h2>pscan</h2> - -<p>pscan diffère des outils précédemment décrits, car ce n'est pas du tout un -scanner généraliste. Au contraire, c'est un programme qui vise spécifiquement -la détection de bogues dans le format des chaînes de caractères.</p> - -<p>L'outil essaiera de trouver des problèmes potentiels dans l'utilisation des -fonctions variadiques (pouvant accepter un nombre variable d'arguments) dans du -code C et C++, par exemple les fonctions <tt>printf</tt>, <tt>fprintf</tt> et -<tt>syslog</tt>.</p> - -<p>Les bogues de format des chaînes de caractères sont facilement détectables -et réparables. Ainsi, bien qu'ils constituent la nouvelle génération d'attaques -logicielles, la majorité d'entre eux ont sans doute déjà été trouvés et -corrigés.</p> - - -<p>Vous pouvez voir un exemple d'utilisation de pscan et le rapport généré dans -la <a href="examples/">section des exemples d'audit</a>.</p> - - -<h2>Comprendre les résultats du scanner</h2> - -<p>Tous les outils généralistes de recherche fournissent des résultats incluant -la description du défaut détecté, et dans certains cas un conseil pour corriger -le code.</p> - -<p>Par exemple, ce qui suit est tiré du rapport généré par RATS et décrit les -dangers de <tt>getenv</tt> :</p> - -<p>« Les variables d'environnement sont des paramètres d'entrée auxquels -on ne peut pas faire confiance. Ils peuvent être de toute taille, et contenir -n'importe quelles données. Ne faites pas d'hypothèse sur leur contenu ou leur -taille. Évitez si possible de les utiliser, et si cela est nécessaire, -vérifiez-les et tronquez-les à une taille raisonnable. »</p> - -<p>Si vous avez besoin de conseils avancés sur la manière de corriger une -vulnérabilité signalée, vous devriez étudier un ouvrage sur la manière de -programmer sûrement, tel que <a -href="http://www.dwheeler.com/secure-programs/">Secure Programming for Linux -and Unix HOWTO</a> par David A. Wheeler.</p> - -<p> -(Rappelez-vous qu'un correctif au trou de sécurité est grandement -appréciée lorsque vous signalez un bogue de sécurité.) -</p> - -<p>Des discussions portant sur la correction de portions de code -particulièrement problématiques peuvent également se tenir sur la <a -href="https://lists.debian.org/debian-security/">liste de diffusion -debian-security</a>. -Comme il s'agit d'une liste de diffusion publique avec des archives -publiques, veillez simplement à ne pas rendre évident le nom du -programme concerné par le défaut.</p> - diff --git a/german/security/audit/2002/Makefile b/german/security/audit/2002/Makefile deleted file mode 100644 index e8967cffb08..00000000000 --- a/german/security/audit/2002/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/german,webwml/english,$(CURDIR))/Makefile diff --git a/german/security/audit/2002/index.wml b/german/security/audit/2002/index.wml deleted file mode 100644 index 9f5da6207bd..00000000000 --- a/german/security/audit/2002/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Debian Sicherheits-Audit-Ankündigungen aus 2002" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" -# $Id$ -# Translator: Helge Kreutzmann <debian@helgefjell.de> 2007-11-23 - -<h2>In 2002 veröffentlichte Ankündigungen</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p>Zurück zum <a href="..">Auditing-Projekt</a> oder der <a href="../advisories">Liste der Ankündigungen</a>.</p> - diff --git a/german/security/audit/2003/Makefile b/german/security/audit/2003/Makefile deleted file mode 100644 index e8967cffb08..00000000000 --- a/german/security/audit/2003/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/german,webwml/english,$(CURDIR))/Makefile diff --git a/german/security/audit/2003/index.wml b/german/security/audit/2003/index.wml deleted file mode 100644 index 7e1ad3d3629..00000000000 --- a/german/security/audit/2003/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Debian Sicherheits-Audit-Ankündigungen aus 2003" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" -# $Id$ -# Translator: Helge Kreutzmann <debian@helgefjell.de> 2007-11-23 - -<h2>In 2003 veröffentlichte Ankündigungen</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2003.inc" - -<p>Zurück zum <a href="..">Auditing-Projekt</a> oder der <a href="../advisories">Liste der Ankündigungen</a>.</p> - diff --git a/german/security/audit/2004/Makefile b/german/security/audit/2004/Makefile deleted file mode 100644 index e8967cffb08..00000000000 --- a/german/security/audit/2004/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/german,webwml/english,$(CURDIR))/Makefile diff --git a/german/security/audit/2004/index.wml b/german/security/audit/2004/index.wml deleted file mode 100644 index 4a216f758da..00000000000 --- a/german/security/audit/2004/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Debian Sicherheits-Audit-Ankündigungen aus 2004" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" -# $Id$ -# Translator: Helge Kreutzmann <debian@helgefjell.de> 2007-11-23 - -<h2>In 2004 veröffentlichte Ankündigungen</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2004.inc" - -<p>Zurück zum <a href="..">Auditing-Projekt</a> oder der <a href="../advisories">Liste der Ankündigungen</a>.</p> - diff --git a/german/security/audit/2005/Makefile b/german/security/audit/2005/Makefile deleted file mode 100644 index e8967cffb08..00000000000 --- a/german/security/audit/2005/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/german,webwml/english,$(CURDIR))/Makefile diff --git a/german/security/audit/2005/index.wml b/german/security/audit/2005/index.wml deleted file mode 100644 index bebd4eb9f12..00000000000 --- a/german/security/audit/2005/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Debian Sicherheits-Audit-Ankündigungen aus 2005" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" -# $Id$ -# Translator: Helge Kreutzmann <debian@helgefjell.de> 2007-11-23 - -<h2>In 2005 veröffentlichte Ankündigungen</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2005.inc" - -<p>Zurück zum <a href="..">Auditing-Projekt</a> oder der <a href="../advisories">Liste der Ankündigungen</a>.</p> - diff --git a/german/security/audit/2006/Makefile b/german/security/audit/2006/Makefile deleted file mode 100644 index e8967cffb08..00000000000 --- a/german/security/audit/2006/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/german,webwml/english,$(CURDIR))/Makefile diff --git a/german/security/audit/2006/index.wml b/german/security/audit/2006/index.wml deleted file mode 100644 index 579ccdae89f..00000000000 --- a/german/security/audit/2006/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Debian Sicherheits-Audit-Ankündigungen aus 2006" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" -# $Id$ -# Translator: Helge Kreutzmann <debian@helgefjell.de> 2007-11-23 - -<h2>In 2006 veröffentlichte Ankündigungen</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2006.inc" - -<p>Zurück zum <a href="..">Auditing-Projekt</a> oder der <a href="../advisories">Liste der Ankündigungen</a>.</p> - diff --git a/german/security/audit/2007/Makefile b/german/security/audit/2007/Makefile deleted file mode 100644 index e8967cffb08..00000000000 --- a/german/security/audit/2007/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/german,webwml/english,$(CURDIR))/Makefile diff --git a/german/security/audit/2007/index.wml b/german/security/audit/2007/index.wml deleted file mode 100644 index 60c5cf36f76..00000000000 --- a/german/security/audit/2007/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Debian Sicherheits-Audit-Ankündigungen aus 2007" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" -# $Id$ -# Translator: Helge Kreutzmann <debian@helgefjell.de> 2007-11-23 - -<h2>In 2007 veröffentlichte Ankündigungen</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2007.inc" - -<p>Zurück zum <a href="..">Auditing-Projekt</a> oder der <a href="../advisories">Liste der Ankündigungen</a>.</p> - diff --git a/german/security/audit/2008/Makefile b/german/security/audit/2008/Makefile deleted file mode 100644 index e8967cffb08..00000000000 --- a/german/security/audit/2008/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/german,webwml/english,$(CURDIR))/Makefile diff --git a/german/security/audit/2008/index.wml b/german/security/audit/2008/index.wml deleted file mode 100644 index 2fed5fcef19..00000000000 --- a/german/security/audit/2008/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Debian Sicherheits-Audit-Ankündigungen aus 2008" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" -# $Id$ -# Translator: Holger Wansing <linux@wansing-online.de>, 2011 - -<h2>In 2008 veröffentlichte Ankündigungen</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2008.inc" - -<p>Zurück zum <a href="..">Auditing-Projekt</a> oder zur <a href="../advisories">Liste der Ankündigungen</a>.</p> - diff --git a/german/security/audit/2009/Makefile b/german/security/audit/2009/Makefile deleted file mode 100644 index e8967cffb08..00000000000 --- a/german/security/audit/2009/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/german,webwml/english,$(CURDIR))/Makefile diff --git a/german/security/audit/2009/index.wml b/german/security/audit/2009/index.wml deleted file mode 100644 index b9234d716c1..00000000000 --- a/german/security/audit/2009/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Debian Sicherheits-Audit-Ankündigungen aus 2009" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" -# $Id$ -# Translator: Holger Wansing <linux@wansing-online.de>, 2011 - -<h2>In 2009 veröffentlichte Ankündigungen</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Zurück zum <a href="..">Auditing-Projekt</a> oder zur <a href="../advisories">Liste der Ankündigungen</a>.</p> - diff --git a/german/security/audit/2011/Makefile b/german/security/audit/2011/Makefile deleted file mode 100644 index e8967cffb08..00000000000 --- a/german/security/audit/2011/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/german,webwml/english,$(CURDIR))/Makefile diff --git a/german/security/audit/2011/index.wml b/german/security/audit/2011/index.wml deleted file mode 100644 index 6445cc1b14e..00000000000 --- a/german/security/audit/2011/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Debian Sicherheits-Audit-Ankündigungen aus 2011" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="458c03fd57fc50534f97eccb28081fcc2c9cd180" -# $Id$ -# Translator: Holger Wansing <linux@wansing-online.de>, 2011 - -<h2>In 2011 veröffentlichte Ankündigungen</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" - -<p>Zurück zum <a href="..">Auditing-Projekt</a> oder zur <a href="../advisories">Liste der Ankündigungen</a>.</p> - diff --git a/german/security/audit/Makefile b/german/security/audit/Makefile deleted file mode 100644 index e8967cffb08..00000000000 --- a/german/security/audit/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/german,webwml/english,$(CURDIR))/Makefile diff --git a/german/security/audit/advisories.wml b/german/security/audit/advisories.wml deleted file mode 100644 index 8c711958592..00000000000 --- a/german/security/audit/advisories.wml +++ /dev/null @@ -1,27 +0,0 @@ -#use wml::debian::template title="Gutachten der Sicherheits-Audits" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0ad4d180b114f128c3363384351694a7bbe6a069" -# $Id$ -# Translator: Tobias Toedter <t.toedter@gmx.net> 2004-06-16 -# Updated: Holger Wansing <linux@wansing-online.de>, 2011 - -<p>Hier finden Sie die letzten Ankündigungen, die als direktes Ergebnis - des Audit-Projekts veröffentlicht wurden.</p> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Aufzeichnungen von in früheren Jahren veröffentlichten - Ankündigungen sind ebenfalls verfügbar:</p> - -<ul> -<li><a href="/security/audit/2011">2011</a></li> -<li><a href="/security/audit/2009">2009</a></li> -<li><a href="/security/audit/2008">2008</a></li> -<li><a href="/security/audit/2007">2007</a></li> -<li><a href="/security/audit/2006">2006</a></li> -<li><a href="/security/audit/2005">2005</a></li> -<li><a href="/security/audit/2004">2004</a></li> -<li><a href="/security/audit/2003">2003</a></li> -<li><a href="/security/audit/2002">2002</a></li> -</ul> diff --git a/german/security/audit/auditing.wml b/german/security/audit/auditing.wml deleted file mode 100644 index 350cf46f159..00000000000 --- a/german/security/audit/auditing.wml +++ /dev/null @@ -1,172 +0,0 @@ -#use wml::debian::template title="Leiten einer Sicherheitsüberprüfung" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0c51b8ff34c17868bd2f86ac91fef7abc581e1e9" -# $Id$ -# Translator: Michael Ablassmeier <abi@grinser.de> 2005-01-14 -# Updated: Holger Wansing <linux@wansing-online.de>, 2012. - -<p>Diese Seite enthält eine grobe Übersicht von Schritten, die notwendig -sind, um ein Paket einer Sicherheitsüberprüfung zu unterziehen.</p> - -<p>Die erste Handlung sollte sein, ein Paket auszuwählen. Hierbei sollte man -sich auf möglichst sicherheitskritische Pakete konzentrieren.</p> - -<p>Um diese Entscheidung zu vereinfachen führen wir <a -href="$(HOME)/security/audit/packages">eine Liste von Paketen, bei denen wir -eine Prüfung für wichtig halten</a>.</p> - -<p>Bitte beachten Sie: Wir versuchen <em>nicht</em> sicherzustellen, dass ein Paket -nur einmal geprüft wird. Wenn mehrere Personen ein Paket auf seine Sicherheit -prüfen, ist dies eine gute Sache und ein Indiz dafür, dass das Paket -sicherheitskritisch ist.</p> - -<p>Indem wir eine wahllose Auswahl der Pakete erlauben, eliminieren wir das -Problem, uns die Frage stellen zu müssen, inwiefern man einer Person vertrauen -kann, dass sie eine gute Überprüfung durchführt (früher oder später wird eine andere -Person dasselbe Paket einer Überprüfung unterziehen).</p> - -<h2>Starten der Sicherheitsüberprüfung</h2> - -<p>Nachdem das Paket ausgewählt wurde, ist es an der Zeit, die Überprüfung -durchführen.</p> - -<p>Falls man sich der Probleme, nach denen man sucht, nicht bewusst ist, so -empfiehlt es sich, zuerst ein Buch über die sichere Entwicklung von Software zu -lesen.</p> - -<p>Das <a href="http://www.dwheeler.com/secure-programs">Secure Programming -for Linux and Unix HOWTO</a> enthält viele Informationen, die hilfreich sein -können. -<a href="http://www.securecoding.org/">Secure Coding: Principles & Practices</a> -von Mark G. Graff und Kenneth R. van Wyk ist ebenfalls ein exzellentes -Buch.</p> - -<p>Auch wenn Hilfsprogramme nicht perfekt sind, können sie extrem hilfreich sein, -womögliche Verwundbarkeiten aufzuspüren. Hierzu haben wir eine <a -href="tools">Liste von Hilfsprogrammen</a> zusammengestellt und wir erklären, -wie sie verwendet werden.</p> - -<p>Ebenso wie das Lesen des Quellcodes ist es auch eine gute Idee, die -Dokumentation des Paketes anzusehen sowie es zu installieren und zu -benutzen.</p> - -<p>Dies erlaubt es, sich eine Vorstellung davon zu machen, wie man das Programm -in seinem typischen Einsatzumfeld missbrauchen könnte.</p> - -<h2>Probleme berichten</h2> - -<p>Findet man einen Fehler, so ist es wichtig, auf diesen aufmerksam zu -machen. Wenn Sie ein Sicherheitsproblem melden, versuchen Sie auch einen -Patch dafür bereitzustellen, so dass die Entwickler das Problem zeitnah -beheben können. Es ist nicht notwendig, ein Angriffsbeispiel beizusteuern -(oft <em><q>exploit</q></em> oder <em><q>proof of concept</q></em> genannt); da der -Patch für sich selbst sprechen sollte, ist es für gewöhnlich besser, -die Zeit aufzuwenden, einen angemessenen Patch bereitzustellen, als einen -erfolgreichen Angriff zur Ausnutzung des Fehlers beizusteuern.</p> - -<p>Hier ist eine Liste der empfohlenen Schritte, sobald Sie eine -Sicherheitslücke in Debian gefunden haben:</p> - -<ol> - -<li>Versuchen Sie einen Patch zum Fehler zu erstellen oder ausreichende -Informationen zu beziehen, so dass andere das Vorhandensein des Fehlers -überprüfen können. Im Idealfall sollte jeder Bericht einen von Ihnen -erstellten Lösungsvorschlag beinhalten, der das Problem behebt sowie -ausreichend getestet wurde. - -<p>Sollten Sie über keinen Lösungsvorschlag verfügen, ist es nützlich, möglichst -viele Informationen bezüglich des Problems, seiner relativen Schwere und Vorschlägen, -wie man es umgehen kann, bereitzustellen.</p></li> - -<li>Überprüfen Sie zuerst, ob der Sicherheitsfehler in der <q>Stable</q> -Debian-Veröffentlichung enthalten ist oder ob er eventuell in anderen -Distributionen oder in einer von den Ursprungsautoren bereitgestellten -Version enthalten ist.</li> - -<li>Berichten Sie die Angelegenheit basierend auf dieser Überprüfung: - -<ul> - -<li>An den Ursprungsbetreuer der Software via deren Kontakt-E-Mail-Adresse -zu Sicherheitsfragen, stellen Sie Ihre Analyse und den Patch bereit.</li> - -<li>An das Debian-Sicherheitsteam, falls der Fehler in einer veröffentlichten -Debian-Version enthalten ist. Das Debian-Sicherheitsteam wird der -Verwundbarkeit üblicherweise einen -<a href="$(HOME)/security/cve-compatibility">CVE-Namen</a> zuweisen. -Das Sicherheitsteam wird die – sollte es nötig sein – Koordination mit -anderen Linux-Distributionen übernehmen und die Paketverwalter in Ihrem -Interesse kontaktieren. Sie können jedoch eine Kopie Ihrer Mail auch an -den Paketbetreuer senden. Tun Sie dies nur, wenn Sie Verwundbarkeiten -geringeren Risikos handhaben (siehe weiter unten).</li> - -<li>Wenn der Fehler in keiner veröffentlichten Debian-Version enthalten -ist, die Anwendung aber in anderen Distributionen oder Betriebssystemen -enthalten sein mag, dann senden Sie eine E-Mail (in Englisch) an <a -href="http://oss-security.openwall.org/wiki/mailing-lists/oss-security">oss-security</a> -(eine nichtöffentliche Mailingliste, die genutzt wird, um Sicherheitsprobleme, -die öffentlich enthüllt wurden, zu melden und zu diskutieren). Dies -brauchen Sie nicht zu tun, wenn Sie den Fehler bereits an das Debian-\ -Sicherheitsteam berichtet haben, da das Team den Fehler an diese Liste -weiterleiten wird.</li> - -<li>Wenn der Fehler in <strong>keiner</strong> veröffentlichten Debian-Version -enthalten ist und Sie sich absolut sicher sind, dass die Anwendung in -<strong>keine</strong> andere Distribution oder Betriebssystem aufgenommen -wurde, dann berichten Sie ihn mittels der Fehlerdatenbank (Bug -Tracking System).</li> - -</ul></li> - -<li>Sobald die Verwundbarkeit öffentlich gemacht wurde (z.B. sobald das -Debian-Sicherheitsteam oder jemand anders eine Ankündigung herausgegeben -hat), sollte ein Fehler mit all den relevanten Informationen in der -Debian-Fehlerdatenbank (Bug Tracking System) eingereicht werden, -damit das Sicherheitsproblem in unveröffentlichten Debian-Versionen -(z.B. <em>Sid</em> oder <em>Testing</em>) verfolgt werden kann. Dies wird -für gewöhnlich vom Sicherheitsteam selbst erledigt, aber wenn Sie bemerken, -dass dies nicht erfolgt ist, oder Sie dies nicht an das Sicherheitsteam -berichtet haben, dann können Sie den Fehler selbst berichten. Stellen Sie -sicher, dass Sie den Fehler mit den richtigen Markierungen versehen -(verwenden Sie die Markierung <em>security</em>) und dass Sie eine angemessene -Schwere setzen (gewöhnlich <em>grave</em> oder höher). Stellen Sie -außerdem sicher, dass der Fehler den passenden -<a href="$(HOME)/security/cve-compatibility">CVE-Namen</a> in seinem Namen -trägt, wenn ein solcher zugewiesen wurde. Auf diese Weise können -Sicherheitsfehler verfolgt werden, so dass sie sowohl in den veröffentlichten -als auch in den unveröffentlichten Debian-Versionen behoben werden.</li> - -<li>Sobald die Angelegenheit öffentlich ist, und falls Sie es wünschen, -können Sie diese Informationen an öffentliche <q>full -disclosure</q>- (<q>Offenlegungs</q>)-Mailinglisten wie z.B. -<a href="https://lists.grok.org.uk/mailman/listinfo/full-disclosure">full-disclosure</a> -oder -<a href="http://www.securityfocus.com/archive/1">Bugtraq</a> weiterleiten.</li> - -</ol> - -<p>Beachten Sie, dass all diese Schritte von dem mit einer entdeckten -Verwundbarkeit verbundenen Risiko beeinflusst werden. Sie müssen das Risiko -basierend auf den folgenden Punkten einschätzen:</p> - -<ul> -<li>Ist die Verwundbarkeit entfernt oder nur lokal ausnutzbar.</li> -<li>Die Konsequenzen, wenn die Verwundbarkeit ausgenutzt wird.</li> -<li>Der Verbreitungsgrad der von der Verwundbarkeit betroffenen Software.</li> -</ul> - -<p>Es sollten beispielsweise unterschiedliche Maßnahmen ergriffen werden, -um einen lokalen Symlink-Angriff zu berichten, der nur von authentifizierten -Benutzern ausgenutzt werden kann und das System nur schädigt, im Vergleich -zu einem entfernt ausnutzbaren Pufferüberlauf, der administrative Privilegien -bereitstellt und in einer Software mit hohem Verbreitungsgrad enthalten ist.</p> - -<p>Da sicherheitskritische Fehler nicht veröffentlicht werden sollten, -bevor sie nicht ausgemerzt wurden, sollten Sie <em>nicht</em> auf dem üblichen -Weg (über die <a href="https://bugs.debian.org/">Debian-Fehlerdatenbank</a>) -von diesen Fehlern berichten, sondern in den meisten Fällen wenden Sie sich -zuerst direkt an <a href="$(HOME)/security/">das Sicherheitsteam</a>, -welches sich der Veröffentlichung eines aktualisierten Pakets annehmen wird -und, sobald der Fehler behoben ist, diesen an das BTS berichten wird.</p> - diff --git a/german/security/audit/examples/Makefile b/german/security/audit/examples/Makefile deleted file mode 100644 index e8967cffb08..00000000000 --- a/german/security/audit/examples/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/german,webwml/english,$(CURDIR))/Makefile diff --git a/german/security/audit/examples/RATS.wml b/german/security/audit/examples/RATS.wml deleted file mode 100644 index af48be77f98..00000000000 --- a/german/security/audit/examples/RATS.wml +++ /dev/null @@ -1,142 +0,0 @@ -#use wml::debian::template title="Automated Audit Example: RATS" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" -# $Id$ -# Translator: Helge Kreutzmann <kreutzm@itp.uni-hannover.de> 2005-06-23 - -<p><a href="https://packages.debian.org/rats">RATS</a> ist ein Allzweck-\ - Durchsuch-Programm, um mögliche Sicherheitsprobleme in einer Anzahl von - Programmiersprachen zu erkennen. -</p> - -<h2>RATS benutzen</h2> -<p>RATS zu benutzen ist so einfach wie es mit einem zu verarbeitenden - Verzeichnis aufzurufen. Jede von ihm gefundene erkannte Quelldatei wird - verarbeitet. RATS versteht einige Programmiersprachen, C, Perl, PHP und - Python, und wird jede Datei als gültige Quelle für die Prüfung behandeln. -</p> -<p>Es gibt eine Reihe von Optionen, die zusätzlich zu dem zu prüfenden - Verzeichnisnamen übergeben werden können, diese werden in der Handbuchseite - beschrieben. -</p> -<p>Die nützlichsten dieser Optionen sind diejenigen, die die Ausgabe betreffen, - wie: -</p> -<ul> -<li>--warning <level> (Setzt die Stufe der zu berichtenden Mängel) -<ul> -<li>1 beinhaltet nur standard und hohe Schwere.</li> -<li>2 enthält mittlere Schwere (Standardeinstellung).</li> -<li>3 beinhaltet Verwundbarkeiten mit niedriger Schwere.</li> -</ul></li> -<li>--xml (Ausgabe in XML)</li> -<li>--html (Ausgabe in HTML)</li> -</ul> -<p>Unter der Annahme, dass sich die <a href="test.c.html">test-Datei</a> als - einzige Quelldatei im aktuellen Verzeichnis befindet, können wir das - Durchsuch-Programm mit dem folgenden Kommando aufrufen:</p> -<pre> -rats --warning 1 --html . >output.html -</pre> -<p>Dies erzeugt eine HTML-Datei, die die Ergebnisse der Durchsuchung enthält, - die dann von einem Browser geladen werden kann.</p> - -<h2>Die Ergebnisse</h2> -<p>Lassen wir RATS gegen unseren <a href="test.c.html">Beispiel-Code</a> laufen, - produziert er folgende Ausgabe:</p> -<hr /> -<div class="sampleblock"> - -<h3>Severity: High</h3> -<p>Issue: fixed size global buffer</p> -<p> - Extra care should be taken to ensure that character arrays that are - allocated on the stack are used safely. They are prime targets for - buffer overflow attacks. -</p> -<p> -File: <b>test.c</b><br> -Lines: 10 11 12 -</p> - -<h3>Severity: High</h3> -<p>Issue: strcpy</p> -<p> - Check to be sure that argument 2 passed to this function call will not - copy more data than can be handled, resulting in a buffer overflow. - </p> -<p> -File: <b>test.c</b><br> -Lines: 18 -</p> - -<h3>Severity: High</h3> -<p>Issue: getenv</p> -<p>Environment variables are highly untrustable input. They may be of any length, and contain any data. Do not make any assumptions regarding content or length. If at all possible avoid using them, and if it is necessary, sanitize them and truncate them to a reasonable length. - </p> -<p> -File: <b>test.c</b><br> -Lines: 22 24 </p> - -<h3>Severity: High</h3> -<p>Issue: sprintf</p> -<p> - Check to be sure that the format string passed as argument 2 to this - function call does not come from an untrusted source that could have added - formatting characters that the code is not prepared to handle. - Additionally, the format string could contain `%s' without precision that - could result in a buffer overflow. -</p> -<p> -File: <b>test.c</b><br> -Lines: 24 </p> - -<h3>Severity: High</h3> -<p>Issue: popen</p> -<p> - Argument 1 to this function call should be checked to ensure that it does - not come from an untrusted source without first verifying that it contains - nothing dangerous. -</p> -<p> -File: <b>test.c</b><br> -Lines: 33 </p> - -<h3>Severity: High</h3> -<p> Issue: printf</p> -<p> - Check to be sure that the non-constant format string passed as argument 1 - to this function call does not come from an untrusted source that could - have added formatting characters that the code is not prepared to handle. -</p> -<p> -File: <b>test.c</b><br> -Lines: 42 </p> -<p> -Total lines analyzed: <b>49</b><br> -Total time <b>0.000288</b> seconds<br> -<b>170138</b> lines per second</p> -</div> -<hr /> -<p>Diese Ausgabe ist recht umfangreich, obwohl der Code selbst nur sehr kurz - ist – dies zeigt eine der negativen Seiten vom automatischen - Durchsuchen, der schiere Umfang der Ausgabe.</p> - -<h2>Die Ausgabe verstehen</h2> -<p>Die erzeugte Ausgabe ist im Grunde eine Beschreibung der Funktionen, die - angetroffen wurden, die Zeilennummer, in der der Mangel entdeckt wurde, und - eine Beschreibung des Problems (da wir die »--warning«-Stufe verwendet haben, - um die Ausgabe nur auf Funktionen auf »high«-Stufe (hoher Stufe) zu - beschränken, haben wir die Ausgabe etwas reduziert.).</p> -<p>Jede der entdeckten Punkte sollte manuell untersucht werden, um zu sehen, - ob dort tatsächlich etwas falsch ist oder ob es falsche positive Meldungen - waren (d.h. eine potenziell falsch eingesetzte Funktion wurde korrekt - verwendet).</p> -<p>In diesem Fall können wir sehen, dass alle Verwundbarkeiten in unserem Code - entdeckt wurden, aber es ist nicht ganz klar ohne mit einem Editor durch den - Code zu gehen und die Zeilennummern zuzuordnen.</p> -<p>Eine große Unterlassung ist, dass die Ausgabe nicht die Zeilen, über die - berichtet wird, beinhaltet – etwas, das <a href="flawfinder">Flawfinder</a> - Ihnen erlaubt hinzuzufügen.</p> -<hr /> -<p><a href="..">Zurück zum Audit-Projekt</a> | <a href="index">Zurück zur Beispiele-für-Audits-Seite</a></p> diff --git a/german/security/audit/examples/flawfinder.wml b/german/security/audit/examples/flawfinder.wml deleted file mode 100644 index bd82d19a147..00000000000 --- a/german/security/audit/examples/flawfinder.wml +++ /dev/null @@ -1,114 +0,0 @@ -#use wml::debian::template title="Beispiel für automatisierte Audits: Flawfinder" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" -# $Id$ -# Translator: Helge Kreutzmann <kreutzm@itp.uni-hannover.de> 2005-06-22 - -<p><a href="https://packages.debian.org/flawfinder">Flawfinder</a> ist ein -Allzweck-Durchsuchprogramm, um potenzielle Mängel sowohl in C- als auch -C++-Quellcode zu finden und zu berichten. -</p> - - -<h2>Flawfinder benutzen</h2> -<p>Flawfinder zu benutzen ist so einfach wie der Aufruf des Befehls mit dem - Namen der zu untersuchenden Datei oder des zu untersuchenden Verzeichnisses. - Wenn ein Verzeichnisname übergeben wird, dann wird es alle gültigen - Quelldateien, die es in dem Verzeichnis finden kann, bearbeiten. -</p> -<p>Ergänzend zur Übergabe einer Liste von Dateien oder Verzeichnissen gibt es - mehrere Kommandozeilenoptionen, die zur Steuerung des Verhaltens des - Werkzeuges verwendet werden können. -</p> -<p>Jede der Optionen ist in der Handbuchseite beschrieben, aber die folgenden - Optionen sind besonders nützlich und werden in unserem Beispiel verwendet: -</p> -<ul> -<li>--minlevel=X -<ul> -<li>Setzt die Risikoeinstellung auf X für die Ausgabe im Bericht. Reicht von 1 - bis 5, wobei 1 »niedriges Risiko« und 5 »hohes Risiko« bedeutet. -</li> -</ul></li> -<li>--html -<ul> -<li>Formatiert die Ausgabe als HTML anstatt als einfachen Text.</li> -</ul></li> -<li>--context -<ul> -<li> Zusammenhang zeigen, beispielsweise die Zeilennummer, die den möglichen - Mangel enthält.</li> -</ul></li> -</ul> - -<p>Um das Ergebnis unseres Programms als eine HTML-Datei auszugeben, die sich - nur um Funktionen mit »hohem Risiko« kümmert, würden wir etwas wie folgt - ablaufen lassen: -</p> -<pre> -flawfinder --html --context --minlevel=4 test.c > output.html -</pre> - -<h2>Das Ergebnis</h2> -<p>Lassen wir Flawfinder gegen unseren <a href="test.c.html">Beispielcode</a> - laufen, produziert er die folgende Ausgabe:</p> - -<hr /> -<div class="sampleblock"> -<p> -Examining test.c <br> -<ul> -<li>test.c:18: <b> [4] </b> (buffer) <i> strcpy: - Does not check for buffer overflows when copying to destination. - Consider using strncpy or strlcpy (warning, strncpy is easily misused). </i> -<pre> - strcpy( dir, argv[ 1 ] ); -</pre> -<li>test.c:24: <b> [4] </b> (buffer) <i> sprintf: - Does not check for buffer overflows. Use snprintf or vsnprintf. </i> - -<pre> - sprintf( dir, "%s", getenv( "HOME" ) ); -</pre> -<li>test.c:33: <b> [4] </b> (shell) <i> popen: - This causes a new program to execute and is difficult to use safely. - try using a library call that implements the same functionality if - available. </i> -<pre> - fp = popen( cmd, "r" ); -</pre> -<li>test.c:42: <b> [4] </b> (format) <i> printf: - If format strings can be influenced by an attacker, they can be - exploited. Use a constant for the format specification. </i> - -<pre> - printf( buff ); -</pre> -</ul> -<p> -Number of hits = 4 -<br> -Number of Lines Analyzed = 48 in 0.53 seconds (1392 lines/second) -<br> -</div> -<hr /> - -<h2>Die Ausgabe verstehen</h2> -<p>Sehr ähnlich zu der Ausgabe von <a href="RATS">RATS</a> ist dieser Bericht - sehr einfach zu lesen. Er zeigt deutlich die erkannten Funktionen als - potenziell gefährlich, sowie eine Beschreibung des Problems. -</p> -<p>Die Hinzunahme von Zusammenhangs-Informationen ist auch sehr nützlich, da - diese sofort die Aufmerksamkeit auf beunruhigende Bereiche hinlenken - oder andere Berichte als ungültig ausschließen können. -</p> -<p>Die Analyse <a href="test.c">unseres Beispielcodes</a> ist ziemlich - intelligent, in dem Sinne, dass sie nicht über <i>jede</i> Verwendung - der Besorgnis erregenden <tt>strcpy</tt>-Funktion berichtete, sondern nur - über diejenigen, die es als potenziell gefährlich ansah. -</p> -<p>Auf diese Weise hat es es geschafft, alle Mängel unseres Codes hervorzuheben - und zugleich keine falschen positiven Meldungen zu erzeugen. -</p> -<hr /> -<p><a href="..">Zurück zum Audit-Projekt</a> | <a href="index">Zurück zur Beispiele-für-Audits-Seite</a></p> diff --git a/german/security/audit/examples/index.wml b/german/security/audit/examples/index.wml deleted file mode 100644 index 9f333ff7dbb..00000000000 --- a/german/security/audit/examples/index.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::template title="Beispiele für automatisierte Audits" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="6097aaeb789f09a86133073acab93480df51405c" -# $Id$ -# Translator: Helge Kreutzmann <kreutzm@itp.uni-hannover.de> 2005-06-22 - -<p>Wie auf der <a href="../tools">Werkzeuge für Sicherheit-Audits-Seite</a> -erklärt stehen mehrere Pakete innerhalb des Debian-Archivs zur Verfügung, die -für automatische Audits von Quellcode verwendet werden können. -</p> - - -<h2>Beispiele für Audits</h2> -<p>Jedes der folgenden Werkzeuge wird gegen das gleiche Stück von -<a href="test.c.html">fehlerbehafteten Code</a> getestet. Dies erlaubt es, -die Ausgabe der Werkzeuge direkt zu vergleichen. -</p> -<p>Der Code wurde mit den drei Werkzeugen analysiert:</p> -<ul> -<li><a href="flawfinder">Flawfinder</a></li> -<li><a href="RATS">RATS</a></li> -<li><a href="pscan">Pscan</a></li> -</ul> -<hr /> -<p><a href="..">Zurück zum Audit-Projekt</a></p> - diff --git a/german/security/audit/examples/pscan.wml b/german/security/audit/examples/pscan.wml deleted file mode 100644 index fa4fd26d2d3..00000000000 --- a/german/security/audit/examples/pscan.wml +++ /dev/null @@ -1,56 +0,0 @@ -#use wml::debian::template title="Beispiel für automatisierte Audits: Pscan" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" -# $Id$ -# Translator: Helge Kreutzmann <kreutzm@itp.uni-hannover.de> 2005-06-23 - -<p><a href="https://packages.debian.org/pscan">Pscan</a> ist ein Paket, das - für Audits von C und C++-Quelldateien hinsichtlich Formatzeichenketten-\ - Verwundbarkeiten entworfen wurde.</p> -<p>Es ist kein Allzweck-Audit-Werkzeug.</p> - -<h2>Pscan benutzen</h2> -<p>Pscan zu benutzen ist so einfach wie es mit einem zu prüfenden Dateinamen - oder Dateien aufzurufen. Zum Beispiel: -</p> -<pre> -pscan <a href="test.c.html">test.c</a> -</pre> -<p>Die Ausgabe wird direkt auf die Konsole geschrieben:</p> -<hr /> -<samp> -test.c:42 SECURITY: printf call should have "%s" as argument 0 -</samp> -<hr /> - -<h2>Die Ausgabe</h2> -<p>Die Ausgabe ist in diesem Fall leicht zu verstehen. Es hat die Tatsache, - dass der <tt>printf</tt>-Aufruf seine Argumente nicht korrekt in - Anführungszeichen einschließt, identifiziert. -</p> -<p>Die Ausgabe zeigt uns, was mir tun müssen, um den Mangel zu beheben: den - Code, der lautet -<pre> -printf( buff ); -</pre> -<p>so abändern, dass er lautet:</p> -<pre> -printf( "%s", buff ); -</pre> -<p>Dies nicht zu machen könnte einem Angreifer, der die Ausgabe von - <tt>ls</tt> kontrollieren kann, erlauben, das Programm anzugreifen, - indem er eine Datei mit dem Namen »%s« oder ähnlich erzeugt.</p> -<p>Formatzeichenketten-Angriffe werden <a -href="http://www.securityfocus.com/guest/3342">in dieser Einführung von Security -Focus</a> beschrieben.</p> -<p>Das <a href="http://www.dwheeler.com/secure-programs/">Secure Programming - for Linux and Unix HOWTO</a> erklärt, wie man sich gegen diese Angriffe in - häufig verwendeten variadischen Funktionen wie beispielsweise</p> -<ul> -<li>printf</li> -<li>fprintf</li> -<li>syslog</li> -</ul> -<p>schützen kann.</p> -<hr /> -<p><a href="..">Zurück zum Audit-Projekt</a> | <a href="index">Zurück zur Beispiele-für-Audits-Seite</a></p> diff --git a/german/security/audit/faq.wml b/german/security/audit/faq.wml deleted file mode 100644 index 654b1263ab3..00000000000 --- a/german/security/audit/faq.wml +++ /dev/null @@ -1,125 +0,0 @@ -#use wml::debian::template title="Debian-Sicherheits-Audit-FAQ" -#use wml::debian::toc -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" -# $Id$ -# Translator: Michael Ablassmeier <abi@grinser.de> 2004-12-08 -# Updated: Holger Wansing <linux@wansing-online.de>, 2011 - -<p>Diese Seite listet einige häufig gestellte Fragen auf, die Leute -vermutlich haben, wenn sie zum ersten Mal von diesem Projekt hören.</p> - -<toc-display> - -<toc-add-entry name="what">Was ist das Debian-Sicherheits-Audit-Projekt?</toc-add-entry> -<p>Das Debian-Sicherheits-Audit-Projekt ist ein kleines Projekt innerhalb von Debian, -das es sich zum Ziel gesetzt hat, die in der Debian-Distribution enthaltenen -Softwarepakete auf mögliche Sicherheitsmängel mittels Durchsicht des Quellcodes zu prüfen.</p> -<p>Die Überprüfung -beschränkt sich derzeit auf die stabile Debian-Distribution und hält sich an -die <a href="packages">Paket-Priorisierungsrichtlinien</a>.</p> - -<toc-add-entry name="start">Wann wurde das Debian-Sicherheits-Audit-Projekt -gestartet?</toc-add-entry> -<p>Das erste Sicherheitsgutachten wurde im Dezember -2002 veröffentlicht, gefolgt von weiteren inoffiziellen Meldungen bis hin zur -<q>öffentlichen</q> Anerkennung des Projektes durch den Debian-Projektleiter, Martin -Michlmayr, im Mai 2004.</p> - -<toc-add-entry name="advisories-from-audit">Welche Sicherheitsgutachten sind -durch die Prüfungen entstanden?</toc-add-entry> -<p>Es wurden mehrere Gutachten in Folge der -geleisteten Überprüfungen bekanntgemacht. All jene, die erschienen, bevor das -Projekt offiziell anerkannt wurde, werden auf der <a href="advisories">Audit -Advisories-Seite</a> aufgelistet.</p> -<p>Man hofft, dass es in naher Zukunft möglich -sein wird, die durch das Projekt veröffentlichten Meldungen aufzufinden, indem -man die Debian-Sicherheitsmeldungen durchsucht und nach dem Stichwort <q>Debian -Security Audit Project</q> recherchiert.</p> - -<toc-add-entry name="advisories">Steht sämtliche Audit-Arbeit in Bezug zu -Gutachten?</toc-add-entry> -<p>Eigentlich nicht. Im Rahmen des Audit-Prozesses wurden viele -Sicherheitsprobleme gefunden, die nicht direkt ausnutzbar waren (sie -können jedoch zu einem Programmabsturz führen). Einige andere der von -uns gefundenen ausnutzbaren Sicherheitsprobleme waren nicht in Debians -offizieller Stable-Veröffentlichung, aber in der Testing- und in der -Unstable-Veröffentlichung enthalten. Alle diese wurden mittels der -Fehlerdatenbank von Debian berichtet (in einigen Fällen direkt -an die ursprünglichen Autoren).</p> - -<toc-add-entry name="credit">Wer hat zu dem Projekt beigetragen?</toc-add-entry> -<p>Steve Kemp ist der Gründer des Projektes, der -auch für die Entstehung der Prozessabläufe und deren Test durch die Aufdeckung -mehrerer Sicherheitslücken zuständig war.</p> -<p>Ulf Härnhammar trat dem Projekt -während seiner Entstehungsphase bei und deckte mehrere Sicherheitsmängel auf, -die mittlerweile behoben wurden. Kurz nachdem Ulf dem Projekt beigetreten war, -folgten Swaraj Bontula und Javier Fernández-Sanguino, die ebenfalls mehrere -schwerwiegende Sicherheitslücken aufdeckten.</p> -<p><a href="http://www.dwheeler.com">David A. Wheeler</a> trieb -Steve Kemp dazu an, das Projekt als offizielles Debian-Teilprojekt zu -etablieren, was durch das Engagement des Debian-Projektleiters Martin -Michlmayr möglich wurde. David trug ebenfalls aktiv zu der Entstehung dieser -Seiten bei.</p> -<p>Das <a href="$(HOME)/security">Debian-Sicherheitsteam</a> -trug maßgeblich zur Veröffentlichung und Beseitigung der vom Projekt -gefundenen Sicherheitsmängel bei.</p> - -<p>Die folgenden Personen haben mindestens eine Sicherheitsankündigung im - Namen des Projekts beigetragen:</p> - -#include "$(ENGLISHDIR)/security/audit/data/credits.inc" - -<p>Weitere Helfer sind immer willkommen!</p> - -<toc-add-entry name="contribute">Wie kann ich zum Projekt -beitragen?</toc-add-entry> -<p>Durch das Überprüfen von Paketen auf -Sicherheitsmängel, wenn Sie die entsprechenden Fähigkeiten sowie die Zeit dazu -haben.</p> -<p>Die <a href="auditing">Prüfungsübersicht</a> sollte einige -Startpunkte zu diesem Vorhaben geben – weitere Fragen können über die <a -href="https://lists.debian.org/debian-security/">debian-security -Mailingliste</a> gestellt werden.</p> - -<toc-add-entry name="mailinglist">Kann auf der Liste über spezielle Pakete -diskutiert werden?</toc-add-entry> -<p>Es wäre von Vorteil, wenn Pakete, die -aufgedeckte Sicherheitsprobleme beinhalten, nicht beim Namen genannt würden, bis -ein <a href="$(HOME)/security/">DSA</a> veröffentlicht wurde. Dies verhindert, dass -Personen mit bösartigen Absichten diese Fehler ausnutzen, bevor sie beseitigt -wurden.</p> -<p>Die Mailingliste kann dazu verwendet werden, -Meinungen über Sourcecode einzuholen und darüber zu diskutieren, ob er mögliche -Sicherheitsmängel beinhaltet und wie diese beseitigt werden können.</p> - -<toc-add-entry name="maintainer">Wie kann ich als Paketbetreuer -beitragen?</toc-add-entry> -<p>Paketbetreuer können helfen, indem sie die -Sicherheit der Software, die sie betreuen, durch die Überprüfung des Quellcodes -sicherstellen oder nach Hilfe fragen.</p> -<p>Siehe auch die <a -href="maintainers">Überprüfung durch Paketbetreuer</a>-Übersicht.</p> - -<toc-add-entry name="reporting">Wie berichtet man ein entdecktes -Problem?</toc-add-entry> -<p>Hierzu gibt es einen Abschnitt in der vom Debian-Sicherheitsteam -erstellten FAQ, der diesen Prozess beschreibt: <a -href="$(HOME)/security/faq#discover">Debian-Sicherheits-FAQ</a>.</p> - -<toc-add-entry name="clean">Sind Pakete, in denen keine Mängel gefunden wurden, -in einer Übersicht verfügbar?</toc-add-entry> -<p>Nein, eine Liste von Paketen, -in denen während der Überprüfung keine Sicherheitsmängel aufgedeckt wurden, -existiert nicht.</p> -<p>Dies ist zum Teil der Fall, da es mögliche Probleme geben kann, -die eventuell übersehen wurden und teilweise auch, da die Überprüfungen durch mehrere Personen -ohne ausreichende Koordination vorgenommen wurden.</p> - -<toc-add-entry name="moreinfo">Wo kann ich weitere Informationen -finden?</toc-add-entry> -<p>Es gibt derzeit keine Mailingliste, die Sie abonnieren können, um -Fragen zu stellen. Verwenden Sie stattdessen die <a -href="https://lists.debian.org/debian-security/">debian-security -Mailingliste</a>.</p> - diff --git a/german/security/audit/index.wml b/german/security/audit/index.wml deleted file mode 100644 index a6c9e75ff55..00000000000 --- a/german/security/audit/index.wml +++ /dev/null @@ -1,56 +0,0 @@ -#use wml::debian::template title="Debian-Sicherheits-Audit-Projekt" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="57f73cd8cc7f0c94f280e3444c075d201e8d42a8" -# $Id$ -# Translator: Tobias Toedter <t.toedter@gmx.net> 2004-06-15 - -<p>Das Debian-Sicherheits-Audit-Projekt (<span lang="en">Debian Security Audit -Project</span>) ist ein Projekt, das sich darauf konzentriert, für -Debian-Pakete einen Audit im Hinblick auf Sicherheitsprobleme -durchzuführen.</p> - -<p>In der kurzen Zeit, die es läuft, zeichnet das Projekt verantwortlich -für mehrere <a href="$(HOME)/security/">Debian-Sicherheitsankündigungen</a> -und beweist damit, dass dieser Audit-Prozess wirklich funktioniert und -die Sicherheit von Debian verbessert. Es ist unsere Hoffnung, dass -weitere Ankündigungen aus zukünftiger Arbeit entstehen.</p> - -<p>Indem wir bei der Durchführung von Code-Audits eine proaktive Haltung -einnehmen, können wir helfen sicherzustellen, dass Debian seinen Ruf -behält, Sicherheit ernst zu nehmen.</p> - - -<h2>Umfang des Audits</h2> - -<p>Das Ziel des Projekts ist, in der Debian-Stable-Veröffentlichung für -so viele Pakete wie möglich ein Audit durchzuführen, um potenzielle -Fehler zu finden. Wichtige Pakete, die in der Unstable-Distribution -enthalten sind, können ebenfalls auf Fehler hin untersucht werden, -wodurch die Wahrscheinlichkeit sinkt, dass unsichere Pakete überhaupt -erst in die Stable-Veröffentlichung gelangen.</p> - -<p>Wegen der ungeheuren Größe der aktuellen Debian-Veröffentlichung ist -es für ein kleines Team nicht machbar, alle Pakete einem Audit zu -unterziehen. Aus diesem Grund gibt es ein System, das es erlaubt, -Prioritäten für Pakete zu setzen, die für die Sicherheit entscheidender -sind.</p> - -<p>Die <a href="packages">Richtlinien für Paket-Prioritäten</a> -versuchen sicherzustellen, dass die Zeit für Audits von Paketen -benutzt wird, die wichtig sind. Die <a href="tools">Übersicht -über Audit-Werkzeuge</a> zeigt, wie einige der verfügbaren -Quelltextscanner benutzt werden können, um ein Audit durchzuführen.</p> - -<h2>Bereits veröffentlichte Ankündigungen</h2> - -<p>Für jedes Paket, das als verwundbar im Hinblick auf ein Sicherheitsproblem -eingestuft wird, wird eine <a href="$(HOME)/security/">DSA</a> -(Debian-Sicherheits-Ankündigung) vom Debian-Sicherheitsteam veröffentlicht.</p> - -<p>Als Nachweis gibt es eine <a href="advisories">Liste früherer - Ankündigungen</a>, die direkt aus dem Audit-Prozess entstanden sind.</p> - -<h2>Weitere Informationen</h2> - -<p>Weitere Informationen über das Projekt finden Sie in der -<a href="faq">Sicherheits-Audit-FAQ</a>.</p> diff --git a/german/security/audit/maintainers.wml b/german/security/audit/maintainers.wml deleted file mode 100644 index 82616ff5886..00000000000 --- a/german/security/audit/maintainers.wml +++ /dev/null @@ -1,56 +0,0 @@ -#use wml::debian::template title="Durchführung eines Audits als Paketbetreuer" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="534d1b782cfb92f46dc41fd064f779fffc329b12" -# $Id$ -# Translator: Tobias Toedter <t.toedter@gmx.net> 2004-06-16 -# Updated: Holger Wansing <linux@wansing-online.de>, 2011 - -<p>Wenn Sie Betreuer eines Pakets sind, das im Debian-Archiv enthalten -ist, sollten Sie in Erwägung ziehen, selber den Code durchzusehen.</p> - -<p>Die Verfügbarkeit von <a href="tools">Werkzeugen</a>, die den Quelltext einem Audit -unterziehen, kann diesen Prozess signifikant vereinfachen. Auch wenn -Sie keine Zeit haben, ein gründliches Audit selbst durchzuführen, -können Sie Bereiche finden, die möglicherweise problematisch sind.</p> - -<p>Wenn Sie Hilfe benötigen, kontaktieren Sie bitte entweder das -<a href="$(HOME)/security/#contact">Debian-Sicherheitsteam</a> oder die -(öffentliche) <a -href="https://lists.debian.org/debian-security/">debian-security -Mailingliste</a>, um Unterstützung dabei zu bekommen, wie Sie ein -Quellcode-Audit durchführen.</p> - -# Wenn Sie Hilfe benötigen, sollten Sie die <a -# href="http://shellcode.org/mailman/listinfo/debian-audit">debian-audit -# Mailingliste</a> abonnieren und nach einem Freiwilligen fragen, der Ihr -# Paket dann untersucht. - -<h2>Informationsquellen für Betreuer</h2> - -<p>Betreuer, die ihren Quellcode überprüfen möchten, könnten daran interessiert -sein, das Debdonf6-Dokument <a -href="https://people.debian.org/~jfs/debconf6/security/weeding_security_bugs.pdf">Weeding -out security bugs in Debian</a> (<a href="https://people.debian.org/~jfs/debconf6/security/slides/weeding_security_bugs.slides.pdf">Folien</a>) oder die Hinweise <a -href="https://people.debian.org/~jfs/debconf6/security/common-problems.txt">Short, -practical overview on how to find a few common mistakes in programs written in -various languages</a> zu lesen (beide geschrieben von Mitgliedern des Audit-Projekts). -</p> - -<p>Die <q>Weeding out security bugs in Debian</q>-Präsentation stammt von der Debconf6 -in Mexiko und war Teil eines Workshops. Für Betreuer, für die Quellcode-Überprüfung -Neuland ist, könnten die <a -href="https://people.debian.org/~jfs/debconf6/security/samples/">Code-Beispiele</a> -und die <a -href="http://meetings-archive.debian.net/pub/debian-meetings/2006/debconf6/">Workshop-Videos</a> -nützlich sein.</p> - -<h2>Neue Veröffentlichungen</h2> -<p>Um ein verantwortungsbewusster Betreuer zu sein, sollten Sie neue -Veröffentlichungen vom ursprünglichen Autor Ihres Pakets im Auge -behalten. Falls das Changelog ein Sicherheitsproblem erwähnt, sollten -Sie überprüfen, ob Sie eine Version des Codes in der Stable-Distribution -haben, die verwundbar ist.</p> - -<p>Wenn Sie eine verwundbare Version in der Stable-Distribution haben, -kontaktieren Sie bitte das Sicherheitsteam - wie in der -<a href="$(HOME)/security/faq">FAQ des Sicherheitsteams</a> beschrieben.</p> diff --git a/german/security/audit/packages.wml b/german/security/audit/packages.wml deleted file mode 100644 index c2ac2e64886..00000000000 --- a/german/security/audit/packages.wml +++ /dev/null @@ -1,111 +0,0 @@ -#use wml::debian::template title="Richtlinien für Paket-Prioritäten im Bezug auf Sicherheitsüberprüfungen" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="8536cf419447d00f034a8e3ad9efa6a243462fe7" -# $Id$ -# Translator: Michael Ablassmeier <abi@grinser.de> 2005-01-13 -# Updated: Holger Wansing <linux@wansing-online.de>, 2011 - -<p>Eine der ersten Hürden, die sich stellt, wenn man eine Sicherheitsüberprüfung -der Debian-Distribution durchführen will, ist zu entscheiden, welches Paket für -eine Untersuchung in Frage kommt.</p> - -<p>Im Optimalfall sollten alle Pakete überprüft werden. Aufgrund der immensen -Größe des Archives ist es aber vonnöten, Prioritäten zu setzen.</p> - -<p>Einige wenige Rahmenbedingungen, die ein Paket für eine Überprüfung in Frage -kommen lassen, sind:</p> - -<ol> -<li>Pakete, die ausführbare Dateien unter Verwendung der setuid- oder -setgid-Rechte installieren.</li> - -<li>Pakete, die einen netzwerkbasierten Service anbieten.</li> - -<li>Pakete, die CGI-/PHP-Skripte beinhalten, welche per Fernzugriff abrufbar -sind.</li> - -<li>Pakete, die zeitgesteuerte Skripte (cronjobs) beinhalten, die oftmals -als »root«-User ausgeführt werden.</li> - -</ol> - -<p>Vielgenutzten Paketen sollte generell eine höhere Priorität zugesprochen -werden, da ein Problem in diesen eine größere Anzahl von Benutzer betreffen -würde.</p> - -<p>Der <a href="https://popcon.debian.org/">Debian-Popularitäts-Wettbewerb</a> -enthält einen aktuellen Überblick über die populärsten Pakete unter den -Teilnehmern der freiwilligen Umfrage.</p> - -<p>Für detaillierte Informationen werfen Sie insbesondere einen Blick auf die <a -href="https://popcon.debian.org/by_vote">nach Stimmen sortierte Paketliste</a>. -Die nach Stimmen (<q>by vote</q>) sortierte Liste reiht die Paketen danach auf, -wie häufig sie von den Teilnehmern der Umfrage verwendet werden.</p> - -<p>Ist ein Paket sicherheitskritisch, insbesondere wenn es die oben genannten -Kriterien erfüllt, und wird dazu noch häufig verwendet, ist es <em>definitiv</em> -ein guter Kandidat, um einer Sicherheitsüberprüfung unterzogen zu werden.</p> - -<h2><tt>setuid</tt>- und <tt>setgid</tt>-Dateien</h2> - -<p>Mit <tt>setuid</tt> und <tt>setgid</tt> versehene Dateien sind generell -Kandidaten für eine Sicherheitsüberprüfung, da ein Kompromittieren dieser -Rechte einem lokalen Benutzer Zugang zu Berechtigungen verschaffen könnte, die -er im Normalfall nicht hätte.</p> - -<p>Um diese Suche zu vereinfachen, existiert eine Liste aller mit -setuid- und setgid-Rechten versehenen Binärdateien in der derzeitigen stabilen -Veröffentlichung.</p> - -<ul> - -<li><a href="https://lintian.debian.org/tags/setuid-binary.html">Lintian-Bericht -aller Binärdateien mit setuid-Rechten in Debian</a></li> - -<li><a href="https://lintian.debian.org/tags/setgid-binary.html">Lintian-Bericht -aller Binärdateien mit setgid-Rechten in Debian</a></li> - -# TODO (jfs): the above does not provide the same information as was available at -# http://shellcode.org/Setuid/ -# ask Steve Kemp to move this feature to a Debian-administered machine? -# (or to the Alioth project) -# - -</ul> - -<p>Wenn es darum geht, die entsprechenden Dateien auszuwählen, ist es wichtig zu -beachten, dass einige mehr und andere weniger sicherheitskritisch sind. Mit -setuid(root) versehene Binärdateien sollten anderen gegenüber (z.B. mit -setgid(games) oder setgid(bugs) versehenen) bevorzugt werden.</p> - -<h2>Netzwerk-Server</h2> - -<p>Netzwerk-Servern gilt es ebenfalls viel Beachtung zu schenken, wenn es darum -geht, eine Sicherheitsüberprüfung vorzunehmen. Eine Sicherheitslücke kann hier -dazu führen, dass Systeme durch Fernzugriff kompromittiert werden können.</p> - -<p>Kompromittierungen aufgrund von Fernzugriffen sind in der Regel -verhängnisvoller als lokale.</p> - -<h2>Online-Skripte</h2> - -<p>Online-Skripte – insbesondere CGI-Skripte – bewegen sich in derselben -Klasse wie Netzwerk-Server. Selbst wenn der eingesetzte Webserver keine -Sicherheitslücken aufweist, ist sicherzustellen, dass auch die von ihm -bereitgestellten Skripte sicher sind.</p> - -<p>Ein Fehler in einem Skript, das über Netz abrufbar ist, ist -mindestens genauso gefährlich, wie ein Server der auf Verbindungen wartet – -beide können zur Kompromittierung eines Systems führen.</p> - -<h2>Zeitgesteuerte Prozesse und System-Service</h2> - -<p>Auch wenn es wenige dieser Art gibt, ist es dennoch wichtig, einen Blick auf -die in Paketen enthaltenen automatisierten Skripte und dergleichen zu -werfen.</p> - -<p>Viele unterstützende Prozesse werden per Voreinstellung als root ausgeführt, -wie zum Beispiel die Rotation von Logfiles.</p> - -<p>Erfolgreiches Ausnutzen einer Symlink-Attacke kann zu einer lokalen -Kompromittierung führen.</p> diff --git a/german/security/audit/tools.wml b/german/security/audit/tools.wml deleted file mode 100644 index 69292bcc905..00000000000 --- a/german/security/audit/tools.wml +++ /dev/null @@ -1,178 +0,0 @@ -#use wml::debian::template title="Werkzeuge für Sicherheits-Audits" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" -# $Id$ -# Translator: Helge Kreutzmann <kreutzm@itp.uni-hannover.de> 2005-06-14 -# Updated: Holger Wansing <linux@wansing-online.de>, 2011, 2012 - -<p>Es sind mehrere Pakete innerhalb Debians verfügbar, -die dazu entwickelt wurden, bei Quellcode-Audits zu helfen. Diese -beinhalten: -</p> - -<ul> -<li><a href="https://packages.debian.org/flawfinder">Flawfinder</a> -<ul> -<li><a href="examples/flawfinder">Beispiele für die Verwendung von Flawfinder</a></li> -</ul></li> -<li><a href="http://archive.debian.net/woody/its4">ITS4</a> -<ul> -<li>Es gibt kein Beispiel für ITS4, da es aus der Unstable-Distribution -entfernt wurde.</li> -</ul></li> -<li><a href="https://packages.debian.org/rats">RATS</a> -<ul> -<li><a href="examples/RATS">Beispiele für die Verwendung von RATS</a></li> -</ul></li> -<li><a href="https://packages.debian.org/pscan">Pscan</a> -<ul> -<li><a href="examples/pscan">Beispiele für die Verwendung von Pscan</a></li> -</ul></li> -</ul> - -<p>Beachten Sie auch, dass es weitere Werkzeuge für einen gegebenen Satz -an Sicherheits-Verwundbarkeiten gibt, die noch nicht für Debian paketiert -wurden, aber für einen Auditor nützlich sein könnten. Diese beinhalten: -</p> - -<ul> -<li>Werkzeuge gezielt für XSS-Fehler: -<ul> -<li><a href="http://freecode.com/projects/xsslint/">Xsslint</a></li> -<li><a href="http://www.devitry.com/screamingCSS.html">ScreamingCSS</a></li> -</ul></li> -<li>Werkzeuge, um Web-Browser zu testen: -<ul> -<li><a href="http://www.securityfocus.com/archive/1/378632">MangleMe</a></li> -</ul></li> -</ul> - -<p>Keines dieser Werkzeuge ist perfekt und sie können nur als Richtlinie für -weitere Untersuchungen verwendet werden, aber angesichts der Tatsache, wie -einfach sie zu benutzen sind, ist es sinnvoll, sich die Zeit zu nehmen, sie -auszuprobieren. -</p> - -<p>Jedes der Werkzeuge hat verschiedene Stärken und Schwächen, daher ist die -Verwendung von mehr als einem ratsam.</p> - - -<h2>Flawfinder</h2> - -<p>Flawfinder ist ein Python-Werkzeug, das entwickelt wurde, um C und C++ -Quellcode zu analysieren und nach möglichen Sicherheitsdefekten zu suchen. -</p> - -<p>Wenn es auf ein Verzeichnis voll mit Quellcode angewendet wird, dann -gibt es einen Bericht der von ihm erkannten möglichen Probleme aus, -sortiert nach Risiko (wobei <i>Risko</i> eine Ganzzahl zwischen 1 und 5 -ist). Um geringe Risiken auszublenden, ist es möglich, dem Programm zu -sagen, nicht über Defekte unter einer bestimmten Risikostufe zu berichten. -Standardmäßig erfolgt die Ausgabe in reinem Text, aber ein HTML-Bericht -ist auch verfügbar. -</p> - -<p>Das Programm durchsucht den Code und sucht nach der Verwendung von -Funktionen, die innerhalb seiner Datenbank von häufig missbrauchten -Funktionen enthalten sind. -</p> - -<p>Um beim Lesen des Berichts zu helfen, ist es möglich zu veranlassen, -dass die Ausgabe eine Zeile über die verwendete Funktion enthält; dies -kann sinnvoll sein, um sofort ein Problem zu erkennen oder es entsprechend -auszuschließen. -</p> - -<p>Sie finden ein Beispiel für die Verwendung von Flawfinder und seine -Ausgabe im <a href="examples/">Beispiele-für-Audits-Abschnitt</a>.</p> - -<h2>ITS4</h2> - -<p>ITS4 ist ein im Non-Free-Bereich des Debian-Archivs enthaltenes Werkzeug; -es ist nur für die <q>Woody</q>-Distribution verfügbar. -</p> - -<p>ITS4 kann dazu verwendet werden, sowohl C- als auch C++-Code auf mögliche -Sicherheitslöcher hin zu durchsuchen, ähnlich wie Flawfinder. -</p> - -<p>Die von ihm erstellte Ausgabe versucht, intelligent zu sein und einige -der Fälle, in denen der Aufruf der gefährlichen Funktionen sorgfältig -erfolgt ist, auszuschließen. -</p> - - -<h2>RATS</h2> - -<p>RATS ist ein ähnliches Werkzeug wie die oben aufgeführten mit der -Ausnahme, dass es eine viel größere Anzahl an Sprachen unterstützt. -Derzeit hat es Unterstützung für C, C++, Perl, PHP und Python. -</p> - -<p>Das Werkzeug verwendet einfache XML-Dateien, um seine Verwundbarkeiten -einzulesen, wodurch es eines der am einfachsten zu modifizierenden Werkzeuge -ist. Neue Funktionen können einfach für jede der unterstützten Sprachen -hinzugefügt werden. -</p> - -<p>Sie finden ein Beispiel für die Verwendung von RATS und dessen Ausgabe im -<a href="examples/">Beispiele-für-Audits-Abschnitt</a>.</p> - -<h2>Pscan</h2> - -<p>Pscan unterscheidet sich von den bisher beschriebenen Werkzeugen, da es -überhaupt kein Allzweck-Durchsuchungsprogramm ist. Stattdessen ist es ein -Programm, das gezielt Formatzeichenketten-Fehler entdeckt. -</p> - -<p>Das Werkzeug versucht, mögliche Punkte bei der Verwendung von variadischen -Funktionen innerhalb des C- und C++-Quellcodes, wie beispielsweise -<tt>printf</tt>, <tt>fprintf</tt> und <tt>syslog</tt>, zu finden.</p> - -<p>Formatzeichenketten-Fehler sind recht einfach zu entdecken und zu beheben; -obwohl sie die jüngste Klasse der Software-Angriffe sind, dürfte die Mehrheit -davon bereits gefunden und behoben worden sein. -</p> - -<p>Sie finden ein Beispiel für die Verwendung von Pscan und dessen Ausgabe im -<a href="examples/">Beispiele-für-Audits-Abschnitt</a>.</p> - - -<h2>Scanner-Ausgabe verstehen</h2> - -<p>Jedes der allgemeinen Durchsuchungswerkzeuge wird Ausgaben, die den -erkannten Fehler beschreiben, beinhalten und möglicherweise Ratschläge -erteilen, wie der Code korrigiert werden kann. -</p> - -<p>Zum Beispiel ist das folgende aus der Ausgabe von RATS entnommen und -beschreibt die Gefahren von <tt>getenv</tt>:</p> - -<p>"Environment variables are highly untrustable input. They may -be of any length, and contain any data. Do not make any assumptions -regarding content or length. If at all possible avoid using them, and -if it is necessary, sanitize them and truncate them to a reasonable -length."</p> - -<p>Auf deutsch: "Umgebungsvariablen sind höchst unvertrauenswürdige -Eingaben. Sie können beliebig lang sein und alle möglichen Daten enthalten. -Treffen Sie keine Annahmen über Inhalt oder Länge. Falls irgendwie möglich -vermeiden Sie deren Benutzung und falls es notwendig ist, bereinigen Sie sie -und schneiden Sie sie auf eine vernünftige Länge".</p> - -<p>Falls Sie weiteren Rat zur Korrektur von berichteten Löchern suchen, -sollten Sie ein Buch über sicheres Programmieren studieren, wie -beispielsweise das <a href="http://www.dwheeler.com/secure-programs/">Secure -Programming for Linux and Unix HOWTO</a> von David A. Wheeler.</p> - -<p>(Bedenken Sie beim Berichten von Sicherheitspunkten, dass ein Patch, der -das Loch schließt, sehr geschätzt wird.)</p> - -<p>Diskussionen in Bezug auf bestimmte problematische Code-Stücke können -Sie auch auf der -<a href="https://lists.debian.org/debian-security/">debian-security -Mailingliste</a> führen; da dies allerdings eine öffentliche Mailingliste -mit öffentlichem Archiv ist, seien Sie vorsichtig, es nicht -offensichtlich zu machen, welches Programm die Schwachstelle enthält. -</p> - diff --git a/japanese/security/audit/2002/Makefile b/japanese/security/audit/2002/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2002/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2002/index.wml b/japanese/security/audit/2002/index.wml deleted file mode 100644 index e22d8e61338..00000000000 --- a/japanese/security/audit/2002/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="2002 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>2002 年にリリースされたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p><a href="..">Debian セキュリティ監査プロジェクトへ戻る</a>、<a href="../advisories">セキュリティ監査のもたらした勧告のリストを参照する</a></p> diff --git a/japanese/security/audit/2003/Makefile b/japanese/security/audit/2003/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2003/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2003/index.wml b/japanese/security/audit/2003/index.wml deleted file mode 100644 index 86377426141..00000000000 --- a/japanese/security/audit/2003/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="2003 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>2003 年にリリースされたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p><a href="..">Debian セキュリティ監査プロジェクトへ戻る</a>、<a href="../advisories">セキュリティ監査のもたらした勧告のリストを参照する</a></p> diff --git a/japanese/security/audit/2004/Makefile b/japanese/security/audit/2004/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2004/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2004/index.wml b/japanese/security/audit/2004/index.wml deleted file mode 100644 index 2bab6d08929..00000000000 --- a/japanese/security/audit/2004/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="2004 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>2004 年にリリースされたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2004.inc" - -<p><a href="..">Debian セキュリティ監査プロジェクトへ戻る</a>、<a href="../advisories">セキュリティ監査のもたらした勧告のリストを参照する</a></p> diff --git a/japanese/security/audit/2005/Makefile b/japanese/security/audit/2005/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2005/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2005/index.wml b/japanese/security/audit/2005/index.wml deleted file mode 100644 index 5ebf5e08d0f..00000000000 --- a/japanese/security/audit/2005/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="2005 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>2005 年にリリースされたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2005.inc" - -<p><a href="..">Debian セキュリティ監査プロジェクトへ戻る</a>、<a href="../advisories">セキュリティ監査のもたらした勧告のリストを参照する</a></p> diff --git a/japanese/security/audit/2006/Makefile b/japanese/security/audit/2006/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2006/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2006/index.wml b/japanese/security/audit/2006/index.wml deleted file mode 100644 index 25e80c9cfe9..00000000000 --- a/japanese/security/audit/2006/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="2006 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>2006 年にリリースされたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2006.inc" - -<p><a href="..">Debian セキュリティ監査プロジェクトへ戻る</a>、<a href="../advisories">セキュリティ監査のもたらした勧告のリストを参照する</a></p> diff --git a/japanese/security/audit/2008/Makefile b/japanese/security/audit/2008/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2008/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2008/index.wml b/japanese/security/audit/2008/index.wml deleted file mode 100644 index 27c20636c32..00000000000 --- a/japanese/security/audit/2008/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="2008 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" - -<h2>2008 年に発表されたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2008.inc" - -<p><a href="..">監査プロジェクト</a>、<a -href="../advisories">勧告一覧</a></p> diff --git a/japanese/security/audit/2009/Makefile b/japanese/security/audit/2009/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2009/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2009/index.wml b/japanese/security/audit/2009/index.wml deleted file mode 100644 index 39687345f50..00000000000 --- a/japanese/security/audit/2009/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="2009 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" - -<h2>2009 年に発表されたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p><a href="..">監査プロジェクト</a>、<a -href="../advisories">勧告一覧</a></p> diff --git a/japanese/security/audit/2011/Makefile b/japanese/security/audit/2011/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2011/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2011/index.wml b/japanese/security/audit/2011/index.wml deleted file mode 100644 index 2ca377d0aa9..00000000000 --- a/japanese/security/audit/2011/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="2011 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="458c03fd57fc50534f97eccb28081fcc2c9cd180" - -<h2>2011 年に発表されたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" - -<p><a href="..">監査プロジェクト</a>、<a -href="../advisories">勧告一覧</a></p> diff --git a/japanese/security/audit/Makefile b/japanese/security/audit/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/advisories.wml b/japanese/security/audit/advisories.wml deleted file mode 100644 index 57db6b03bde..00000000000 --- a/japanese/security/audit/advisories.wml +++ /dev/null @@ -1,22 +0,0 @@ -#use wml::debian::template title="セキュリティ監査のもたらした勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0ad4d180b114f128c3363384351694a7bbe6a069" - -<p>この監査プロジェクトの直接的な結果としてリリースされた最新の勧告を見ることができます。</p> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>過去の年度にリリースされた勧告の記録も参照可能です。</p> - -<ul> -<li><a href="/security/audit/2011">2011</a></li> -<li><a href="/security/audit/2009">2009</a></li> -<li><a href="/security/audit/2008">2008</a></li> -<li><a href="/security/audit/2007">2007</a></li> -<li><a href="/security/audit/2006">2006</a></li> -<li><a href="/security/audit/2005">2005</a></li> -<li><a href="/security/audit/2004">2004</a></li> -<li><a href="/security/audit/2003">2003</a></li> -<li><a href="/security/audit/2002">2002</a></li> -</ul> diff --git a/japanese/security/audit/auditing.wml b/japanese/security/audit/auditing.wml deleted file mode 100644 index 8459dbf552a..00000000000 --- a/japanese/security/audit/auditing.wml +++ /dev/null @@ -1,144 +0,0 @@ -#use wml::debian::template title="監査の実施" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0c51b8ff34c17868bd2f86ac91fef7abc581e1e9" - -<p>このページではパッケージ監査の実施にあたって必要な手順の概観を提示します。</p> - -<p>第一段階は調査するパッケージを実際に選択することで、 -セキュリティがより重要であるものを取り上げるべきです。</p> - -<p>決断方法についての提案ですが<a href="$(HOME)/security/audit/packages">\ -監査にあたって私たちが最も重要だと考えるパッケージ一覧</a>を見てみてください。</p> - -<p>一つはっきりさせておくべきことは、私たちは、 -以前にパッケージの監査が確実に行われたことを示したいのでは<em>ない</em>ということです。 -多くの人が同一パッケージの調査を選択するとしたらそれは良いことで、 -そのパッケージはセキュリティに細心の注意を払うべきだ、 -と多くの人が考えていることを実証することになります。</p> - -<p>パッケージを本質的に無作為に選んでもらうことで、私たちは調整作業を簡略化できます。 -さらに「X さんがよい仕事をすることをどうすれば確信できるのか ?」という問題も解決することができます -(遅かれ早かれ誰か他の人が同一プログラムを選んで検査することになるのでその必要はありません)。</p> - -<h2>監査の開始</h2> - -<p>パッケージを選択したら今度は実際に監査を始める必要があります。</p> - -<p>どんな種類の問題を探せばよいのかよくわからなかったらまず、 -安全なソフトウェアの開発方法に関する本を読むことから始めてください。</p> - -<p><a href="http://www.dwheeler.com/secure-programs">Secure Programming -for Linux and Unix HOWTO</a> によい情報が多くあり役立つでしょう。 -Mark G. Graff と Kenneth R. van Wyk による -<a href="http://www.securecoding.org/">Secure Coding: Principles & -Practices</a> も素晴らしい本です。</p> - -<p>ツールは不完全ではありますが、脆弱性らしきものを見つけるにあたっては非常に役に立ちます。 -一部の利用可能な監査ツールやその使われ方についてのさらなる情報は、 -<a href="tools">監査ツールのページ</a>を見てください。 -</p> - -<p>コード自体を見るのと同様に、そのパッケージの付属文書を読んでみる、 -インストールを試してみる、使ってみるというのもよい案です。</p> - -<p>こういったことにより、 -標準的な操作でそのプログラムの機能を損なわせる方法を考え出せるかもしれません。</p> - - -<h2>問題の報告</h2> - -<p>調査しているパッケージに問題を見つけた場合、それを報告するべきです。 -セキュリティバグを報告する際、パッチの提供も考えてみてください。 -それにより開発者は直ちに修正できます。 -攻撃例を提供する必要はありません -(<em>exploit</em> や <em>概念実証</em> とよく呼ばれます)。 -これはパッチがそれ自体でそういったことを提示してしまう類のものなので、 -バグを悪用した攻撃の成功につながるため、 -通常は正式なパッチを提供するための時間的猶予を与えることが最善となります。</p> - - -<p>これは Debian でセキュリティバグを見つけた時に推奨される手順一覧です:</p> - -<ol> - -<li>バグのパッチを作るか十分な情報を収集するようにしてください。 -それによって他の人がバグの存在を確定できます。 -理想的なのはそれぞれの報告に発見した問題の修正方法が含まれることで、 -その修正方法は試験の上、問題を実際に終息させることが確認されているものとなります。 - -<p>修正方法がわからない場合は、問題の適用範囲や相対的な影響の大きさ、 -それに次善策があるとなお良いでしょう。</p></li> - -<li>まず、そのセキュリティバグが安定版 Debian リリースに存在するのか、 -他のディストリビューションや上流のメンテナにより提供されたバージョンに\ -存在するのかを調べ直します。</li> - -<li>上で調べ直した結果を踏まえて、問題を報告してください: - -<ul> - -<li>上流のメンテナ宛にセキュリティ連絡用の当該 e-mail 経由で、分析とパッチを添えて。</li> - -<li>そのバグが Debian のリリース済みのバージョンに存在する場合 Debian -セキュリティチーム宛に。Debian セキュリティチームは通常、<a -href="$(HOME)/security/cve-compatibility">CVE 名</a>を脆弱性に割り当てます。 -セキュリティチームは、必要に応じて他の Linux -ディストリビューションとの調整やパッケージメンテナへの連絡を行います。 -そのメールの複製をパッケージメンテナにも送ることはできますが、 -それは危険性の低い脆弱性 (以下参照) を扱う場合だけにしてください。</li> - -<li>そのバグが Debian のリリース済みのバージョンに存在せず、そのアプリケーションが -他のディストリビューションやオペレーティングシステムに存在する可能性がある場合は、<a -href="http://oss-security.openwall.org/wiki/mailing-lists/oss-security">oss-security</a> -(開示されたセキュリティバグの報告および議論に使われる公開メーリングリスト) -にメールを送ってください。バグを Debian セキュリティチーム宛に既に送っていれば、 -チームの方でこのリストにも転送するのでこれは必要ありません。</li> - -<li>そのバグが Debian のリリース済みのどのバージョンにも存在<strong>せず</strong>、 -そのアプリケーションが他のどのディストリビューションや\ -オペレーティングシステムにも含まれ<strong>ない</strong> -ことが絶対に確実であればバグ追跡システム経由で報告してください。</li> - -</ul></li> - -<li>脆弱性が公開 (つまり Debian セキュリティチームや他のベンダーが勧告を発表) -されたら、バグとその関連情報を全て Debian バグ追跡システムに提出し、 -Debian のまだリリースされていないバージョン (つまり <em>sid</em> や -<em>testing</em>) のセキュリティ問題を追跡出来るようにすべきです。 -これは通常セキュリティチーム自身が行いますが、 -見逃していることに気付いた場合やセキュリティチームに報告していない場合は -自分で報告することも可能です。 -バグに適切なタグ (<em>security</em> タグを使ってください) を付けたか、 -適切な優先度 (通常 <em>grave</em> かそれ以上) がセットされているか確認してください。 -当該 <a href="$(HOME)/security/cve-compatibility">CVE -名</a>が既に割り当てられている場合はそれをバグの題名に確実に含めるようにしてください。 -これでセキュリティバグを追跡する道筋が出来、Debian -のリリース済み、未リリース双方のバージョンで修正されることになります。</li> - -<li>望むなら、問題が公開されればこの情報を -<a href="https://lists.grok.org.uk/mailman/listinfo/full-disclosure">full-disclosure</a> -や <a href="http://www.securityfocus.com/archive/1">Bugtraq</a> -等の完全公開されている公開メーリングリストに転送することもできます。</li> - -</ol> - -<p>ここに挙げた手順は見つかった脆弱性に関わる危険性によることに注意してください。 -危険性を評価する際の基準となるのは:</p> - -<ul> -<li>脆弱性がリモートかローカルか。</li> -<li>脆弱性が悪用された場合の被害。</li> -<li>脆弱性により影響を受けるソフトウェアの普及度合い。</li> -</ul> - -<p>取るべき手順は、 -例えば認証済みユーザによってのみ使用可能なローカルのシンボリックリンク攻撃で、 -システムに損害を与える手段を提供するだけのものを報告するのと、 -普及しているソフトウェアに管理者特権を提供するリモートのバッファオーバフローが\ -存在するのを報告するのとでは異なります。</p> - -<p>ほとんどの場合セキュリティバグ修正されるまで公開されるべきではないので、 -標準となっている <a href="https://bugs.debian.org/">Debian バグ追跡システム</a> -経由での報告は<em>せず</em>、まずは<a href="$(HOME)/security/">セキュリティチーム</a> -宛に直接問題を報告してください。セキュリティチームが更新パッケージのリリースを担当し、 -問題を修正したら BTS に報告します。</p> diff --git a/japanese/security/audit/examples/Makefile b/japanese/security/audit/examples/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/examples/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/examples/index.wml b/japanese/security/audit/examples/index.wml deleted file mode 100644 index 387954cceeb..00000000000 --- a/japanese/security/audit/examples/index.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::template title="自動監査の例" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="6097aaeb789f09a86133073acab93480df51405c" - -<p><a href="../tools">監査ツールのページ</a>で説明しているように、 -ソースコードの自動監査に使えるパッケージが Debian -アーカイブ内にいくつかあります。</p> - -<h2>監査の例</h2> -<p>以下のツールはそれぞれ<a href="test.c.html">バグだらけのコード</a> -の同じ部分に対してテストされました。 -これにより、ツールの出力を直接比較できます。</p> - -<p>コードは 3 つのツールによって分析されています:</p> -<ul> -<li><a href="flawfinder">flawfinder</a></li> -<li><a href="RATS">RATS</a></li> -<li><a href="pscan">pscan</a></li> -</ul> -<hr /> -<p><a href="..">監査プロジェクトに戻る</a></p> diff --git a/japanese/security/audit/faq.wml b/japanese/security/audit/faq.wml deleted file mode 100644 index ca2d016b547..00000000000 --- a/japanese/security/audit/faq.wml +++ /dev/null @@ -1,130 +0,0 @@ -#use wml::debian::template title="Debian セキュリティ監査 FAQ" -#use wml::debian::toc -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -<p>このページでは、このプロジェクトについて初めて耳にした人がもつ可能性がある、 -代表的な質問の一部をリストアップします。</p> - -<toc-display> - -<toc-add-entry name="what">Debian -セキュリティ監査プロジェクトとは?</toc-add-entry> - -<p>Debian セキュリティ監査プロジェクト (Debian Security Audit Project) は、Debian -プロジェクト内で行われている小さなプロジェクトです。Debian -ユーザが利用できるパッケージのソースコード監査を実施して、 -セキュリティに対して積極的な姿勢をとろうと計画されました。</p> - -<p>監査は Debian 安定版 (stable) ディストリビューションを対象とし、監査作業は<a -href="packages">パッケージの優先順位付けに関するガイドライン</a>による指示に従います。</p> - -<toc-add-entry name="start">Debian -セキュリティ監査プロジェクトはいつ始められたのですか?</toc-add-entry> - -<p>最初の勧告は 2002 年 12 月に出され、その後、やがて他の勧告も出されました。</p> - -<p>活動は非公式な立場で続けられましたが、2004 年 5 月 に Debian -プロジェクトリーダーの Martin Michlmayr さんによって<q>公式</q>の地位を与えられました。</p> - -<toc-add-entry -name="advisories-from-audit">どの勧告が、監査活動の結果として得られたものなのですか?</toc-add-entry> - -<p>監査作業の一環として出された勧告は多数あります。 -プロジェクトが公式の地位を与えられる前に出されたものは全て、<a -href="advisories">監査のもたらした勧告のページ</a>にリストアップされています。</p> - -<p>近い将来には、 -公式の地位を得た後にプロジェクトから出され一般に知られるようになった勧告が、Debian -セキュリティ勧告のレポートを見たり<q>Debian -セキュリティ監査プロジェクト</q>で検索したりして見つけられるようになると期待されます。</p> - -<toc-add-entry -name="advisories">監査作業はすべて勧告に繋がっているのですか?</toc-add-entry> - -<p>実際のところ、繋がってはいません。監査の過程で、 -直接は悪用可能ではない (しかしプログラムをクラッシュさせる可能性がある) -と分かったセキュリティ問題は多数あります。他にも、 -私たちの発見した悪用可能なセキュリティ問題が、Debian の公式安定版 (stable) -リリースには存在せず、テスト版 (testing) リリースや不安定版 (unstable) -リリースに存在することもあります。こういった問題はすべて、Debian -のバグ追跡システムを通じて (あるいは場合によっては上流開発者に直接) 報告されます。</p> - - -<toc-add-entry -name="credit">誰がこの仕事に貢献してきたのですか?</toc-add-entry> - -<p>Steve Kemp さんが Debian セキュリティ監査プロジェクトを開始して初期の処理過程を編成し、 -多数の脆弱性を発見することでその処理過程を試しました。</p> - -<p>Ulf Hänhammar -さんが、初期のこの非公式な期間にプロジェクトに参加し、いくつかの脆弱性を発見しました。 -それらの脆弱性はその後に修正されています。Ulf さんの後まもなく Swaraj Bontula さんと Javier -Fernández-Sanguino さんもいくつかの重大なセキュリティ問題を発見しました。</p> - -<p><a href="http://www.dwheeler.com">David A. Wheeler</a> さんが Steve Kemp -さんに対して、この活動を Debian -の公式なプロジェクトとして率いることを申し出るようけしかけ、それは Debian -プロジェクトリーダーの Martin Michlmayr さんの参加によって可能となりました。また、David -さんは、セキュリティ監査プロジェクトのウェブページの内容に関して多数の有益な提案をし、 -複数のセクションに直接的な貢献をしました。</p> - -<p><a href="$(HOME)/security">Debian セキュリティチーム</a>が、 -発見されたあらゆる脆弱性を速やかに修正して世界中に確実に配布するという、 -監査を成功させる上での大きな手助けをしました。</p> - -<p>以下の人々が少なくとも1つのプロジェクト名でのセキュリティ勧告に貢献してきました。</p> - -#include "$(ENGLISHDIR)/security/audit/data/credits.inc" - -<p>私たちは、貢献してくれる人がさらにいたらいつでも歓迎します!</p> - - -<toc-add-entry name="contribute">貢献するには?</toc-add-entry> - -<p>パッケージの監査に必要な時間や技術力をもっているのなら、あとは監査に着手するだけです!</p> - -<p><a href="auditing">監査方法の概要</a>を読めば、仕事に取り掛かる方法がよくわかるはずです。 -さらに質問がある場合は、<a -href="https://lists.debian.org/debian-security/">debian-security -メーリングリスト</a>で訊くとよいでしょう。</p> - -<toc-add-entry -name="mailinglist">特定のパッケージについてメーリングリスト上で議論してもかまいませんか?</toc-add-entry> - -<p><a href="$(HOME)/security/">DSA</a> -が出される前には、発見した問題を含むパッケージの名前は出さない方がよいでしょう。 -というのは、修正される前にパッケージの名前を出して欠陥を説明すると、 -悪意をもったユーザが、その欠陥を悪用できてしまうからです。</p> - -<p>その代わりメーリングリストは、 -コードの一部を記述してその悪用可能性や修正方法についての意見を求めるのに使うことができます。</p> - -<toc-add-entry -name="maintainer">パッケージのメンテナとして貢献するには?</toc-add-entry> - -<p>パッケージのメンテナは、 -自分でコードに一通り目を通すか他人に手助けを求めるかして、 -自分がパッケージ化しているソフトウェアのセキュリティを確実なものにする手助けをできます。</p> - -<p><a href="maintainers">パッケージのメンテナ向けの監査方法</a>の概要を見てください。</p> - -<toc-add-entry -name="reporting">発見した問題を報告するには?</toc-add-entry> - -<p><a href="$(HOME)/security/faq#discover">セキュリティチームの FAQ</a> -に、その方法を説明しているセクションがあります。</p> - -<toc-add-entry -name="clean">監査されてセキュリティ面に問題がないとわかったパッケージ一覧が利用できるのですか?</toc-add-entry> - -<p>いいえ、これまでに監査を受けて内部に問題が見つからなかったパッケージは、 -公にはリストアップされていません。</p> - -<p>それは、見落とされた問題が潜んでいる可能性があるため、 -そして細かい調整を受けずに複数の人々で監査が行われているためです。</p> - -<toc-add-entry name="moreinfo">さらに詳しい情報をどこで得られますか?</toc-add-entry> - -<p>購読して質問できるメーリングリストは現在ありません。当分の間 -<a href="https://lists.debian.org/debian-security/">debian-security -メーリングリスト</a>を使ってください。</p> diff --git a/japanese/security/audit/index.wml b/japanese/security/audit/index.wml deleted file mode 100644 index b6d5eb644a8..00000000000 --- a/japanese/security/audit/index.wml +++ /dev/null @@ -1,41 +0,0 @@ -#use wml::debian::template title="Debian セキュリティ監査プロジェクト" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="57f73cd8cc7f0c94f280e3444c075d201e8d42a8" - -<p>Debian セキュリティ監査プロジェクトは、Debian -パッケージのセキュリティ問題の監査に重点的に取り組むプロジェクトです。</p> -<p>短い期間にプロジェクトはいくつかの <a href="$(HOME)/security/">Debian -セキュリティ勧告</a>に関わり、 -Debian のセキュリティを向上する上でこの監査活動が本当に機能することを示してきました。 -今後の活動からさらに多くの勧告がもたらされることが期待されます。</p> -<p>コードの監査を積極的に行なう姿勢をとることで、 -私たちは、Debian がセキュリティを重要視するという長い歴史をこれからも続けていくのを手助けできます。</p> - - -<h2>監査の範囲</h2> - -<p>このプロジェクトの目的は、Debian 安定版 (stable) -リリース中のなるべく多くのパッケージについて、潜在的な欠陥を監査することです。 -そもそも安全でないパッケージが安定版 (stable) リリースに入る可能性自体を減らす目的で、 -不安定版 (unstable) ディストリビューション中に含まれる重要なパッケージについても、 -欠陥を探すため監査するかもしれません。</p> - -<p>現在の Debian リリース全体のサイズは非常に大きいため、 -小さいチームですべてのパッケージを監査するのは実行不可能です。 -そのため、よりセキュリティに気を配る必要がある (security sensitive) パッケージを優先するシステムがあります。</p> - -<p><a href="packages">パッケージの優先順位付けに関するガイドライン</a>は、 -重要なパッケージの監査作業に対して確実に時間をかけようという試みです。 -また<a href="tools">監査ツールの概要</a>では、 -入手可能ないくつかのソースコードスキャナを使うとどのような監査ができるかを説明しています。</p> - -<h2>これまでにリリースされた勧告</h2> - -<p>セキュリティ問題に対して脆弱だとわかったパッケージに関しては、 -Debian セキュリティチームによって <a href="$(HOME)/security/">DSA</a> がリリースされます。</p> -<p>参考のため、セキュリティ監査の過程を通じて直接もたらされた<a -href="advisories">これまでの勧告のリスト</a>もあります。</p> - -<h2>さらに詳しい情報</h2> - -<p>プロジェクトに関するさらに詳しい情報は<a href="faq">セキュリティ監査の FAQ</a> で見つけることができます。</p> diff --git a/japanese/security/audit/maintainers.wml b/japanese/security/audit/maintainers.wml deleted file mode 100644 index dac2889e27f..00000000000 --- a/japanese/security/audit/maintainers.wml +++ /dev/null @@ -1,49 +0,0 @@ -#use wml::debian::template title="パッケージのメンテナ向けの監査方法" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="534d1b782cfb92f46dc41fd064f779fffc329b12" - -<p>Debian アーカイブに含まれるパッケージのメンテナは、 -自分自身でコードに一通り目を通すことを検討してください。</p> - -<p><a href="tools">ソースコード監査ツール</a>を利用できればこの作業はかなり楽になります。 -時間がなくて自分で徹底的な監査をできなくても、問題がある可能性を秘めた箇所を見つけることができます。</p> - -<p>もし援助が必要なら、 -<a href="$(HOME)/security/#contact">Debian セキュリティチーム</a> または -(公開の) <a href="https://lists.debian.org/debian-security/">debian-security -メーリングリスト</a>宛に、ソースコード監査の実施方法について援助を求めてください。 -</p> - -# consider joining the <a -#href="http://shellcode.org/mailman/listinfo/debian-audit">debian-audit -#mailing list</a> and asking for a volunteer to look over your -#package.</p> - -<h2>メンテナ向け情報</h2> - -<p>ソースコードのレビューを希望するメンテナは Debconf6 の新聞「<a -href="https://people.debian.org/~jfs/debconf6/security/weeding_security_bugs.pdf"> -Debian のセキュリティバグを淘汰する</a> -(<a href="https://people.debian.org/~jfs/debconf6/security/slides/weeding_security_bugs.slides.pdf">スライド</a>) -」や覚え書き「<a -href="https://people.debian.org/~jfs/debconf6/security/common-problems.txt"> -Short, practical overview on how to find a few common -mistakes in programs written in various languages</a>」 -(ともに、監査プロジェクトのメンバーにより書かれています) -を興味を持って読んでみるといいでしょう。 -</p> - -<p><q>Debian のセキュリティバグを淘汰する</q>新聞はメキシコでの Debconf6 -で、講習会の一部として公開されました。監査を始めたばかりのメンテナにとっては<a -href="https://people.debian.org/~jfs/debconf6/security/samples/">サンプルコード</a>や<a -href="http://meetings-archive.debian.net/pub/debian-meetings/2006/debconf6/">講習会のビデオ -</a>が有用かもしれません。</p> - -<h2>新しいリリース</h2> -<p>責任感のあるメンテナの一人として、 -パッケージの上流の新しいリリースに注意を向けておくべきです。 -changelog にセキュリティ問題に関する記述があったら、 -安定版 (stable) ディストリビューションのコードが脆弱性を含むものでないか調べてみましょう。</p> -<p>安定版 (stable) ディストリビューションで利用できる脆弱性を含むバージョンをもっていたら、 -<a href="$(HOME)/security/faq">セキュリティチームの FAQ</a> -に書かれているようにセキュリティチームに連絡をとってください。</p> diff --git a/japanese/security/audit/packages.wml b/japanese/security/audit/packages.wml deleted file mode 100644 index f59258585c8..00000000000 --- a/japanese/security/audit/packages.wml +++ /dev/null @@ -1,102 +0,0 @@ -#use wml::debian::template title="監査パッケージ優先順位付けガイドライン" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="8536cf419447d00f034a8e3ad9efa6a243462fe7" - -<p>Debian ディストリビューションの監査を実行する際に最初に生じる問題の一つは、 -監査対象のパッケージを決定することです。</p> - -<p>理想的にはすべてのパッケージを監査することになるでしょうが、 -アーカイブ全体には膨大な数のパッケージがあるので、 -作業に優先順位をつける簡単な方法がなくてはなりません。</p> - -<p>単純なガイドラインとしては、最初に監査する価値があるのは以下のパッケージです。</p> - -<ol> -<li>setuid や setgid をされてインストールされているあらゆるバイナリ。</li> - -<li>ネットワーク越しにサービスを提供するあらゆるもの。</li> - -<li>リモートからアクセス可能なあらゆる CGI/PHP スクリプト。</li> - -<li>root 権限で実行される cronjob やその他の自動化スクリプトを含んでいるあらゆるもの。</li> - -</ol> - -<p>一般に、人気があるパッケージは優先順位を上げてください。 -これらのパッケージに何らかの問題があれば、より多くのユーザに影響があるからです。</p> - -<p><a href="https://popcon.debian.org/">Debian 人気コンテスト</a>では、 -調査に参加しているボランティアにどのパッケージが最も人気があるのかを明らかにするための調査を行い続けています。</p> - -<p>特に、<a href="https://popcon.debian.org/by_vote">投票による (by vote) -パッケージの順序付け</a>を見てください。この<q>投票による</q>リストでは、 -調査に参加しているユーザがどの程度の頻度でパッケージを使用しているかによって、 -パッケージを順位付けています。</p> - -<p>パッケージが (特に上述の基準のいずれかを満たすなど) セキュリティ上重要であり、 -(このような調査で) 人気もある場合は、<em>間違いなく</em>監査の対象です。</p> - - -<h2><tt>setuid</tt> や <tt>setgid</tt> をされたバイナリ</h2> - -<p><tt>setuid</tt> や <tt>setgid</tt> -をされたバイナリは、伝統的にセキュリティ監査の対象となっています。 -これらのパーミッションのいずれかを持つ脆弱なバイナリを突く侵害行為で、ローカルユーザは、 -本来持っていない権限を利用する手段を得ることが可能だからです。</p> - -<p>検索の補助となる手段として、現行安定版 (stable) リリースに含まれる setuid や setgid -をされたバイナリの完全な一覧がこちらに存在します。</p> - -<ul> - -<li><a href="https://lintian.debian.org/tags/setuid-binary.html">Debian の -Setuid されたバイナリの Lintian Report</a></li> - -<li><a href="https://lintian.debian.org/tags/setgid-binary.html">Debian の -Setgid されたバイナリの Lintian Report</a></li> - -</ul> - -# TODO (jfs): the above does not provide the same information as was available at -# http://shellcode.org/Setuid/ -# ask Steve Kemp to move this feature to a Debian-administered machine? -# (or to the Alioth project) -# - -<p>setuid や setgid -をされたバイナリの中からどれを選択するかに関しては、 -そのようなバイナリの中でもセキュリティ問題への繋がりやすさに差がある、 -ということを覚えておくことが重要です。例えば、setuid(root) -をされたバイナリは、setgid(games) や setuid(bugs) -をされたバイナリよりも先に監査すべきです。</p> - - -<h2>ネットワークサーバ</h2> - -<p>セキュリティ監査の実施ということになると、明らかに思い浮かびやすいもう 1 -つの対象はネットワークに繋がったサーバです。 -ネットワークに繋がったサーバに悪用可能な問題があると、 -攻撃者がリモートからマシンを侵害できるようになりうるからです。</p> - -<p>通常、 -リモートからのセキュリティ侵害はローカルからのセキュリティ侵害よりもはるかに重大です。</p> - -<h2>オンラインのスクリプト</h2> - -<p>オンラインのスクリプト、特に CGI スクリプトは、実はネットワークサーバと同等です。 -ウェブサーバ自体は安全かもしれませんが、その上で動作するスクリプトも同程度に重要なのです。</p> - -<p>ネットワーク越しに利用可能なスクリプトのバグは、 -接続を待ち受けているサーバのバグと同程度に重大です。 -どちらのバグでもマシンへのセキュリティ侵害が可能になってしまうからです。</p> - -<h2>cronjob やシステムのサービス</h2> - -<p>あちこちに多数あるわけではありませんが、 -パッケージ内に含まれている自動化スクリプトや cronjob などには目を通す価値があります。</p> - -<p>ログファイルの掃除などに使用される多くのサポートツールが、デフォルトでは root -権限で実行されます。</p> - -<p>シンボリックリンク攻撃の悪用が成功してしまうと、 -ローカルからの侵害を招く可能性があります。</p> diff --git a/japanese/security/audit/tools.wml b/japanese/security/audit/tools.wml deleted file mode 100644 index b1e912a30cf..00000000000 --- a/japanese/security/audit/tools.wml +++ /dev/null @@ -1,139 +0,0 @@ -#use wml::debian::template title="セキュリティ監査ツール" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" - -<p>ソースコード監査を支援する目的で設計されたパッケージがいくらか -Debian アーカイブから利用可能となっています。これには次のようなものがあります:</p> - -<ul> -<li><a href="https://packages.debian.org/flawfinder">Flawfinder</a> -<ul> -<li><a href="examples/flawfinder">サンプルの flawfinder 使用例</a></li> -</ul></li> -<li><a href="http://archive.debian.net/woody/its4">ITS4</a> -<ul> -<li>ITS4 は不安定版 (unstable) -ディストリビューションから削除されたため使用例はありません</li> -</ul></li> -<li><a href="https://packages.debian.org/rats">RATS</a> -<ul> -<li><a href="examples/RATS">サンプルの RATS 使用例</a></li> -</ul></li> -<li><a href="https://packages.debian.org/pscan">pscan</a> -<ul> -<li><a href="examples/pscan">サンプルの pscan 使用例</a></li> -</ul></li> -</ul> - -<p>また、Debian 向けのパッケージ化はまだされていないかもしれませんが、 -監査員にとって有用な特定のセキュリティ脆弱性に特化した他のツールも存在することに注意してください。 -これには次のようなものがあります:</p> - -<ul> -<li>XSS バグに特化したツール: -<ul> -<li><a href="http://freecode.com/projects/xsslint/">Xsslint</a></li> -<li><a href="http://www.devitry.com/screamingCSS.html">ScreamingCSS</a></li> -</ul></li> -<li>ウェブブラウザをテストするツール: -<ul> -<li><a href="http://www.securityfocus.com/archive/1/378632">MangleMe</a></li> -</ul></li> -</ul> - -<p>どのツールも完璧ではなく、更なる研究のための指針としてしか使えませんが、 -使い方がとても単純という前提があるので、 -少し時間を取って試してみる価値はあります。</p> - -<p>ツールにはそれぞれ異なる特長や弱点があるため、複数併用するのが賢明でしょう。</p> - -<h2>Flawfinder</h2> - -<p>flawfinder は C および C++ -ソースコードを分析して潜在的なセキュリティ欠陥を探すように設計された Python ツールです。</p> - -<p>ソースコードを含むディレクトリに対して実行すると、 -検出した潜在的な問題の報告を危険度 (<i>危険度</i>は 1–5 の 5 段階) -の順に並べ替えて出力します。軽微な危険を無視する場合、 -特定レベル以下の危険となる欠陥については報告しないよう\ -プログラムに指示することも可能です。 -デフォルトでの出力は平文テキストですが、HTML での報告も可能です。</p> - -<p>このプログラムはよく悪用される関数のデータベースを内蔵していて、 -その中にある関数の使用をコードを走査することで探します。</p> - -<p>報告の分析を支援するため、 -関数が使用されている行が含まれる報告を出力させることが可能です。 -問題をすぐに検出したり除外するような場合に有用かもしれません。</p> - -<p><a href="examples/">監査例のセクション</a>に -flawfinder の使用例とその出力があります。</p> - -<h2>ITS4</h2> - -<p>ITS4 は Debian アーカイブの non-free セクションに含まれるツールで、 -<q>woody</q> ディストリビューション用だけが利用可能となっています。</p> - -<p>ITS4 は C および C++ 双方のコードを走査して潜在的なセキュリティホールを探します。 -flawfinder とよく似ています。</p> - -<p>これが吐き出す出力は知的に努め、 -危険な関数呼び出しが慎重に作られているような場合は除外されることがあります。 -</p> - -<h2>RATS</h2> - -<p>RATS は上で挙げたのと同様のツールですが、 -違うのは非常に幅広い範囲の言語をサポートしている点です。 -現在、C、C++、Perl、PHP、Python をサポートしています。</p> - -<p>このツールはその脆弱性を読み込むのに単純な XML ファイルを使います。 -これにより利用可能なツールの中で修正するのが最も簡単なものの一つとなっています。 -サポート済みの言語それぞれに新しい機能を追加するのは非常に簡単です。</p> - -<p><a href="examples/">監査例のセクション</a>に -RATS の使用例とその出力があります。</p> - -<h2>pscan</h2> - -<p>pscan はこれまで説明してきたツールとは違い、 -通常の目的のスキャナとは全く異なる、 -書式文字列バグの検出に特化したプログラムとなっています。</p> - -<p>このツールは C および C++ ソースコード内の可変長引数関数、例えば -<tt>printf</tt> や <tt>fprintf</tt>、<tt>syslog</tt> -の使用にあたっての潜在的な問題の発見を試みます。</p> - -<p>書式文字列バグの検出および修正は非常に簡単で、 -最も新しい種類のソフトウェア攻撃ではありますが、 -その大部分は恐らく既に発見、修正済みです。</p> - -<p><a href="examples/">監査例のセクション</a>に pscan -の使用例とその出力があります。</p> - -<h2>スキャナ出力の理解</h2> - -<p>一般的な走査ツールはそれぞれ、検出した欠陥の説明と、 -もしかするとそのコードの修正方法についての助言を出力に含めます。</p> - -<p>例えば以下は <tt>getenv</tt> の危険性を説明する RATS -の出力を抜粋したものです:</p> - -<p>"環境変数は極めて信頼できない入力です。 -任意の長さで任意のデータを含めることが可能です。 -その内容や長さについての仮定は一切しないでください。可能な限りその使用は避け、 -必要な場合は健全化した上で妥当な長さに切りつめてください。"</p> - -<p>報告された穴の修正方法についての詳細な助言が必要であれば、 -安全にプログラミングするための本、例えば David A. Wheeler により書かれた -<a href="http://www.dwheeler.com/secure-programs/">Secure programming -for Linux and Unix HOWTO</a> 等で勉強してください。</p> - -<p>(セキュリティ問題を報告する際、 -穴を塞ぐパッチが非常に喜ばれることを覚えておいてください)</p> - -<p>コードの特に問題のある部分の修正に関連する議論は -<a href="https://lists.debian.org/debian-security/">debian-security -メーリングリスト</a>で行うこととも可能です。 -これは公開されているメーリングリストで公開アーカイブもあるので、 -どのプログラムに欠陥が含まれるのかを明らかにはしないように多少注意してください。</p> diff --git a/korean/security/audit/Makefile b/korean/security/audit/Makefile deleted file mode 100644 index d4d30f9da84..00000000000 --- a/korean/security/audit/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/korean,webwml/english,$(CURDIR))/Makefile diff --git a/korean/security/audit/index.wml b/korean/security/audit/index.wml deleted file mode 100644 index 41faaa17d76..00000000000 --- a/korean/security/audit/index.wml +++ /dev/null @@ -1,52 +0,0 @@ -#use wml::debian::template title="데비안 보안 감사 프로젝트" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="57f73cd8cc7f0c94f280e3444c075d201e8d42a8" mindelta="-1" -# 주의: 불완전한 번역. 번역을 마친 다음 위의 'mindelta="-1"'을 지우십시오. - -<p>데비안 보안 감사 프로젝트는 보안 이슈에 대한 데비안 패키지 감사에 초점을 맞춘 프로젝트입니다. -</p> - -<p>여러 <a href="$(HOME)/security/">데비안 보안 권고</a>를 책임지며 짧은 시간 실행되면서 -이 감사 프로세스가 데비안 보안을 향상시키기 위해 정말로 작동합니다. -미래의 일로 인해 더 많은 도움이 필요할 것입니다. -</p> - -<p>감사 코드에 능동적 대처를 함으로써 데비안이 보안을 심각하게 받아들이는 긴 역사를 계속하도록 -도울 수 있습니다. -</p> - - -<h2>감사 범위</h2> - -<p>The aim of the project is to audit as many of the packages within -the Debian stable release as possible for potential flaws. Important -packages which are contained in the unstable distribution may also be -examined for flaws, decreasing the likelihood of insecure packages -entering the stable release in the first place.</p> - -<p>Due to the sheer size of the current Debian release it is -infeasible for a small team to be able to audit all the packages, so -there is a system of prioritizing packages which are more security -sensitive.</p> - -<p>The <a href="packages">package prioritization guidelines</a> -attempt to ensure that time is spent auditing the packages which -matter, and the <a href="tools">auditing tools overview</a> shows how -some of the available source code scanners may be used to guide an -audit.</p> - -<h2>이전에 나온 권고</h2> - -<p>For each package which has been found vulnerable to a security -problem there will be a <a href="$(HOME)/security/">DSA</a> released -by the Debian Security Team.</p> - -<p>For reference there is a <a href="advisories">list of previous -advisories</a> which have resulted directly from the auditing process.</p> - -<h2>더 많은 정보</h2> - -<p>프로젝트에 대한 더 많은 정보는 <a -href="faq">보안 감사 FAQ</a>에서 찾을 수 있을 겁니다.</p> - - diff --git a/polish/security/audit/2002/Makefile b/polish/security/audit/2002/Makefile deleted file mode 100644 index 4853807eb8f..00000000000 --- a/polish/security/audit/2002/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/polish,webwml/english,$(CURDIR))/Makefile diff --git a/polish/security/audit/2002/index.wml b/polish/security/audit/2002/index.wml deleted file mode 100644 index 7336cc5ded8..00000000000 --- a/polish/security/audit/2002/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Ostrzeżenia projektu Audyt Bezpieczeństwa Debiana z 2002 roku" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Otrzeżenia wydane w 2002 roku</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p>Przejdź do <a href="..">projektu audytu</a> lub do <a href="../advisories">listy ostrzeżeń</a>.</p> - diff --git a/polish/security/audit/2003/Makefile b/polish/security/audit/2003/Makefile deleted file mode 100644 index 4853807eb8f..00000000000 --- a/polish/security/audit/2003/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/polish,webwml/english,$(CURDIR))/Makefile diff --git a/polish/security/audit/2003/index.wml b/polish/security/audit/2003/index.wml deleted file mode 100644 index 282d599eea2..00000000000 --- a/polish/security/audit/2003/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Ostrzeżenia projektu Audyt Bezpieczeństwa Debiana z 2003 roku" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Ostrzeżenia wydane w 2003 roku</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2003.inc" - -<p>Przejdź do <a href="..">projektu audytu</a> lub do <a href="../advisories">listy ostrzeżeń</a>.</p> - diff --git a/polish/security/audit/2004/Makefile b/polish/security/audit/2004/Makefile deleted file mode 100644 index 4853807eb8f..00000000000 --- a/polish/security/audit/2004/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/polish,webwml/english,$(CURDIR))/Makefile diff --git a/polish/security/audit/2004/index.wml b/polish/security/audit/2004/index.wml deleted file mode 100644 index b11b5586b9f..00000000000 --- a/polish/security/audit/2004/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Ostrzeżenia projektu Audyt Bezpieczeństwa Debiana z 2004 roku" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Ostrzeżenia wydane w 2004 roku</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2004.inc" - -<p>Przejdź do <a href="..">projektu audytu</a> lub do <a href="../advisories">listy ostrzeżeń</a>.</p> - diff --git a/polish/security/audit/2005/Makefile b/polish/security/audit/2005/Makefile deleted file mode 100644 index 4853807eb8f..00000000000 --- a/polish/security/audit/2005/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/polish,webwml/english,$(CURDIR))/Makefile diff --git a/polish/security/audit/2005/index.wml b/polish/security/audit/2005/index.wml deleted file mode 100644 index 3b233aaf424..00000000000 --- a/polish/security/audit/2005/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Ostrzeżenia projektu Audyt Bezpieczeństwa Debiana z 2005 roku" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Ostrzeżenia wydane w 2005 roku</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2005.inc" - -<p>Przejdź do <a href="..">projektu audytu</a> lub do <a href="../advisories">listy ostrzeżeń</a>.</p> - diff --git a/polish/security/audit/2006/Makefile b/polish/security/audit/2006/Makefile deleted file mode 100644 index 4853807eb8f..00000000000 --- a/polish/security/audit/2006/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/polish,webwml/english,$(CURDIR))/Makefile diff --git a/polish/security/audit/2006/index.wml b/polish/security/audit/2006/index.wml deleted file mode 100644 index da30d1c66f8..00000000000 --- a/polish/security/audit/2006/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Ostrzeżenia projektu Audyt Bezpieczeństwa Debiana z 2006 roku" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Ostrzeżenia wydane w 2006 roku</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2006.inc" - -<p>Przejdź do <a href="..">projektu audytu</a> lub do <a href="../advisories">listy ostrzeżeń</a>.</p> - diff --git a/polish/security/audit/2007/Makefile b/polish/security/audit/2007/Makefile deleted file mode 100644 index 4853807eb8f..00000000000 --- a/polish/security/audit/2007/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/polish,webwml/english,$(CURDIR))/Makefile diff --git a/polish/security/audit/2007/index.wml b/polish/security/audit/2007/index.wml deleted file mode 100644 index 18a097c8c36..00000000000 --- a/polish/security/audit/2007/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Ostrzeżenia projektu Audyt Bezpieczeństwa Debiana z 2007 roku" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Ostrzeżenia wydane w 2007 roku</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2007.inc" - -<p>Przejdź do <a href="..">projektu audytu</a> lub do <a href="../advisories">listy ostrzeżeń</a>.</p> - diff --git a/polish/security/audit/2008/Makefile b/polish/security/audit/2008/Makefile deleted file mode 100644 index 4853807eb8f..00000000000 --- a/polish/security/audit/2008/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/polish,webwml/english,$(CURDIR))/Makefile diff --git a/polish/security/audit/2008/index.wml b/polish/security/audit/2008/index.wml deleted file mode 100644 index f0881788e6f..00000000000 --- a/polish/security/audit/2008/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Ostrzeżenia projektu Audyt Bezpieczeństwa Debiana z 2008 roku" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" - -<h2>Ostrzeżenia wydane w 2008 roku</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2008.inc" - -<p>Przejdź do <a href="..">projektu audytu</a> lub do <a href="../advisories">listy ostrzeżeń</a>.</p> - diff --git a/polish/security/audit/2009/Makefile b/polish/security/audit/2009/Makefile deleted file mode 100644 index 4853807eb8f..00000000000 --- a/polish/security/audit/2009/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/polish,webwml/english,$(CURDIR))/Makefile diff --git a/polish/security/audit/2009/index.wml b/polish/security/audit/2009/index.wml deleted file mode 100644 index 8ee8753d3ae..00000000000 --- a/polish/security/audit/2009/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Ostrzeżenie projektu Audyt Bezpieczeństwa Debiana z 2009 roku" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" - -<h2>Ostrzeżenia wydane w 2009 roku</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Przejdź do <a href="..">projektu audytu</a> lub do <a href="../advisories">listy ostrzeżeń</a>.</p> - diff --git a/polish/security/audit/2011/Makefile b/polish/security/audit/2011/Makefile deleted file mode 100644 index 4853807eb8f..00000000000 --- a/polish/security/audit/2011/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/polish,webwml/english,$(CURDIR))/Makefile diff --git a/polish/security/audit/2011/index.wml b/polish/security/audit/2011/index.wml deleted file mode 100644 index 7b8a097c07f..00000000000 --- a/polish/security/audit/2011/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Ostrzeżenia projektu Audyt Bezpieczeństwa Debiana z 2011 roku" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="458c03fd57fc50534f97eccb28081fcc2c9cd180" - -<h2>Ostrzeżenia wydane w 2011 roku</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" - -<p>Przejdź do <a href="..">projektu audytu</a> lub do <a href="../advisories">listy ostrzeżeń</a>.</p> - diff --git a/polish/security/audit/Makefile b/polish/security/audit/Makefile deleted file mode 100644 index 4853807eb8f..00000000000 --- a/polish/security/audit/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/polish,webwml/english,$(CURDIR))/Makefile diff --git a/polish/security/audit/advisories.wml b/polish/security/audit/advisories.wml deleted file mode 100644 index fa65b630317..00000000000 --- a/polish/security/audit/advisories.wml +++ /dev/null @@ -1,25 +0,0 @@ -#use wml::debian::template title="Ostrzeżenia Audytu Bezpieczeństwa" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0ad4d180b114f128c3363384351694a7bbe6a069" - -<p>Poniżej znajdują się najnowsze ostrzeżenia, które zostały opublikowane -jako bezpośrednie wyniki tego projektu audytu.</p> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Dostępne są także zapisy biuletynów, które zostały opublikowane -w poprzednich lata:</p> - -<ul> -<li><a href="/security/audit/2011">2011</a></li> -<li><a href="/security/audit/2009">2009</a></li> -<li><a href="/security/audit/2008">2008</a></li> -<li><a href="/security/audit/2007">2007</a></li> -<li><a href="/security/audit/2006">2006</a></li> -<li><a href="/security/audit/2005">2005</a></li> -<li><a href="/security/audit/2004">2004</a></li> -<li><a href="/security/audit/2003">2003</a></li> -<li><a href="/security/audit/2002">2002</a></li> -</ul> - diff --git a/polish/security/audit/index.wml b/polish/security/audit/index.wml deleted file mode 100644 index 71fdf298236..00000000000 --- a/polish/security/audit/index.wml +++ /dev/null @@ -1,56 +0,0 @@ -#use wml::debian::template title="Projekt Audyt Bezpieczeństwa Debiana" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="57f73cd8cc7f0c94f280e3444c075d201e8d42a8" - -<p>Projekt Audyt Bezpieczeństwa Debiana skupia się na analizowaniu -pakietów Debiana pod względem bezpieczeństwa.</p> - -<p>W ciągu krótkiego czasu swojego istnienia był odpowiedzialny -za opublikowanie kilku -<a href="$(HOME)/security/">Ostrzeżeń dotyczących bezpieczeństwa Debiana</a> -udowadniając, że przyjęty proces analizowania sprawdza się w -zwiększaniu bezpieczeństwa Debiana. Mamy nadzieję, że wynikiem -dalszym prac będzie większa liczba opubliowanych ostrzeżeń.</p> - -<p>Poprzez aktywną postawę w analizowaniu kodu pomagamy w zapewnieniu, -że Debian kontynuuje swoją długą historię poważnego traktowania -spraw związanych z bezpieczeństwem.</p> - - -<h2>Zakres audytu</h2> - -<p>Celem projektu jest zbadanie jak największej liczby pakietów -w stabilnej edycji Debiana pod kątem potencjalnych błędów. -Ważne pakiety z edycji niestabilnej także mogą być zbadane, -zmniejszając prawdopodobieństwo, że niebezpieczny pakiet -dostanie się do edycji stabilnej w pierwszym wydaniu.</p> - -<p>Ze względu na rozmiar obecnego wydania Debiana, niemożliwym -jest przeanalizowanie wszystkich pakietów przez niewielki -zespół, dlatego powstał system ustalania priorytetów pakietów -ze względu na ich wpływ na bezpieczeństwo.</p> - -<p><a href="packages">Przewodnik ustalania priorytetu pakietu</a> -stara się zapewnić, że czas poświęcono analizie najważniejszych -pakietów, a <a href="tools">przegląd narzędzi do audytu</a> -przedstawia, w jaki sposób wykorzystać w prowadzeniu audytu -dostępne skanery kodu źródłowego.</p> - -<h2>Poprzednio wydane ostrzeżenia</h2> - -<p>Dla każdego pakietu, w którym znaleziono błąd związany z -bezpieczeństwem, Zespół ds. Bezpieczeństwa Debiana wydaje -<a href="$(HOME)/security/">DSA</a> (Debian Security Advisory - -Ostrzeżenie dotyczące Bezpieczeństwa Debiana).</p> - -<p>Dla odniesienia istnieje <a href="advisories">lista poprzednich -ostrzeżeń</a>, która jest bezpośrednim wynikiem z procesu audytu.</p> - -<h2>Dodatkowe informacje</h2> - -<p>Dodatkowe informacje o projekcie znajdują się na stronie -<a href="faq">Często zadawanych pytań (FAQ) dotyczących -audytu bezpieczeństwa</a>.</p> - - - diff --git a/portuguese/security/audit/2002/Makefile b/portuguese/security/audit/2002/Makefile deleted file mode 100644 index 8e2b61fc353..00000000000 --- a/portuguese/security/audit/2002/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/portuguese,webwml/english,$(CURDIR))/Makefile diff --git a/portuguese/security/audit/2002/index.wml b/portuguese/security/audit/2002/index.wml deleted file mode 100644 index 1e1b89b8da5..00000000000 --- a/portuguese/security/audit/2002/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Alertas de auditoria de segurança do Debian em 2002" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Alertas lançados em 2002</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p>Volte ao <a href="..">projeto de auditoria</a>, ou para as -<a href="../advisories">listas de alertas</a>.</p> diff --git a/portuguese/security/audit/2003/Makefile b/portuguese/security/audit/2003/Makefile deleted file mode 100644 index 8e2b61fc353..00000000000 --- a/portuguese/security/audit/2003/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/portuguese,webwml/english,$(CURDIR))/Makefile diff --git a/portuguese/security/audit/2003/index.wml b/portuguese/security/audit/2003/index.wml deleted file mode 100644 index d89d50223cd..00000000000 --- a/portuguese/security/audit/2003/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Alertas de auditoria de segurança do Debian em 2003" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Alertas lançados em 2003</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2003.inc" - -<p>Volte ao <a href="..">projeto de auditoria</a>, ou para as -<a href="../advisories">listas de alertas</a>.</p> diff --git a/portuguese/security/audit/2004/Makefile b/portuguese/security/audit/2004/Makefile deleted file mode 100644 index 8e2b61fc353..00000000000 --- a/portuguese/security/audit/2004/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/portuguese,webwml/english,$(CURDIR))/Makefile diff --git a/portuguese/security/audit/2004/index.wml b/portuguese/security/audit/2004/index.wml deleted file mode 100644 index 612fc7d310d..00000000000 --- a/portuguese/security/audit/2004/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Alertas de auditoria de segurança do Debian em 2004" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Alertas lançados em 2004</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2004.inc" - -<p>Volte ao <a href="..">projeto de auditoria</a>, ou para as -<a href="../advisories">listas de alertas</a>.</p> diff --git a/portuguese/security/audit/2005/Makefile b/portuguese/security/audit/2005/Makefile deleted file mode 100644 index 8e2b61fc353..00000000000 --- a/portuguese/security/audit/2005/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/portuguese,webwml/english,$(CURDIR))/Makefile diff --git a/portuguese/security/audit/2005/index.wml b/portuguese/security/audit/2005/index.wml deleted file mode 100644 index a345c70444f..00000000000 --- a/portuguese/security/audit/2005/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Alertas de auditoria de segurança do Debian em 2005" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Alertas lançados em 2005</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2005.inc" - -<p>Volte ao <a href="..">projeto de auditoria</a>, ou para as -<a href="../advisories">listas de alertas</a>.</p> diff --git a/portuguese/security/audit/2006/Makefile b/portuguese/security/audit/2006/Makefile deleted file mode 100644 index 8e2b61fc353..00000000000 --- a/portuguese/security/audit/2006/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/portuguese,webwml/english,$(CURDIR))/Makefile diff --git a/portuguese/security/audit/2006/index.wml b/portuguese/security/audit/2006/index.wml deleted file mode 100644 index 2604006568b..00000000000 --- a/portuguese/security/audit/2006/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Alertas de auditoria de segurança do Debian em 2006" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Alertas lançados em 2006</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2006.inc" - -<p>Volte ao <a href="..">projeto de auditoria</a>, ou para as -<a href="../advisories">listas de alertas</a>.</p> diff --git a/portuguese/security/audit/2007/Makefile b/portuguese/security/audit/2007/Makefile deleted file mode 100644 index 8e2b61fc353..00000000000 --- a/portuguese/security/audit/2007/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/portuguese,webwml/english,$(CURDIR))/Makefile diff --git a/portuguese/security/audit/2007/index.wml b/portuguese/security/audit/2007/index.wml deleted file mode 100644 index 60d89cba4a6..00000000000 --- a/portuguese/security/audit/2007/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Alertas de auditoria de segurança do Debian em 2007" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Alertas lançados em 2007</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2007.inc" - -<p>Volte ao <a href="..">projeto de auditoria</a>, ou para as -<a href="../advisories">listas de alertas</a>.</p> diff --git a/portuguese/security/audit/2008/Makefile b/portuguese/security/audit/2008/Makefile deleted file mode 100644 index 8e2b61fc353..00000000000 --- a/portuguese/security/audit/2008/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/portuguese,webwml/english,$(CURDIR))/Makefile diff --git a/portuguese/security/audit/2008/index.wml b/portuguese/security/audit/2008/index.wml deleted file mode 100644 index 927034f2c51..00000000000 --- a/portuguese/security/audit/2008/index.wml +++ /dev/null @@ -1,11 +0,0 @@ -#use wml::debian::template title="Alertas de auditoria de segurança do Debian em 2008" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" - -<h2>Alertas Lançados em 2008</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2008.inc" - -<p>Volte ao <a href="..">projeto de auditoria</a>, ou para as -<a href="../advisories">listas de alertas</a>.</p> - diff --git a/portuguese/security/audit/2009/Makefile b/portuguese/security/audit/2009/Makefile deleted file mode 100644 index 8e2b61fc353..00000000000 --- a/portuguese/security/audit/2009/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/portuguese,webwml/english,$(CURDIR))/Makefile diff --git a/portuguese/security/audit/2009/index.wml b/portuguese/security/audit/2009/index.wml deleted file mode 100644 index 78d13f4372c..00000000000 --- a/portuguese/security/audit/2009/index.wml +++ /dev/null @@ -1,11 +0,0 @@ -#use wml::debian::template title="Alertas de auditoria de segurança do Debian em 2009" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" - -<h2>Alertas Lançados em 2009</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Volte ao <a href="..">projeto de auditoria</a>, ou para as -<a href="../advisories">listas de alertas</a>.</p> - diff --git a/portuguese/security/audit/2011/Makefile b/portuguese/security/audit/2011/Makefile deleted file mode 100644 index 8e2b61fc353..00000000000 --- a/portuguese/security/audit/2011/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/portuguese,webwml/english,$(CURDIR))/Makefile diff --git a/portuguese/security/audit/2011/index.wml b/portuguese/security/audit/2011/index.wml deleted file mode 100644 index 5633013fa73..00000000000 --- a/portuguese/security/audit/2011/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Alertas de auditoria de segurança do Debian em 2011" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="458c03fd57fc50534f97eccb28081fcc2c9cd180" - -<h2>Alertas Lançados em 2011</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" - -<p>Volte ao <a href="..">projeto de auditoria</a>, ou para as -<a href="../advisories">listas de alertas</a>.</p> diff --git a/portuguese/security/audit/Makefile b/portuguese/security/audit/Makefile deleted file mode 100644 index 8e2b61fc353..00000000000 --- a/portuguese/security/audit/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/portuguese,webwml/english,$(CURDIR))/Makefile diff --git a/portuguese/security/audit/advisories.wml b/portuguese/security/audit/advisories.wml deleted file mode 100755 index 82093286f94..00000000000 --- a/portuguese/security/audit/advisories.wml +++ /dev/null @@ -1,26 +0,0 @@ -#use wml::debian::template title="Avisos de auditoria de segurança" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0ad4d180b114f128c3363384351694a7bbe6a069" - -<p>Aqui você pode ver os últimos avisos que foram lançados como resultado -direto deste projeto de auditoria.</p> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Também estão disponíveis os registros dos avisos que foram lançados em anos -anteriores:</p> - - -<ul> -<li><a href="/security/audit/2011">2011</a></li> -<li><a href="/security/audit/2009">2009</a></li> -<li><a href="/security/audit/2008">2008</a></li> -<li><a href="/security/audit/2007">2007</a></li> -<li><a href="/security/audit/2006">2006</a></li> -<li><a href="/security/audit/2005">2005</a></li> -<li><a href="/security/audit/2004">2004</a></li> -<li><a href="/security/audit/2003">2003</a></li> -<li><a href="/security/audit/2002">2002</a></li> -</ul> - diff --git a/portuguese/security/audit/auditing.wml b/portuguese/security/audit/auditing.wml deleted file mode 100755 index c7a1566cb1d..00000000000 --- a/portuguese/security/audit/auditing.wml +++ /dev/null @@ -1,160 +0,0 @@ -#use wml::debian::template title="Conduzindo uma auditoria" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0c51b8ff34c17868bd2f86ac91fef7abc581e1e9" - - -<p>Esta página oferece uma visão geral sobre os passos necessários para se -conduzir uma auditoria de um pacote.</p> - -<p>O primeiro passo é escolher um pacote para examinar, você deve -selecionar um que é mais crítico em relação à segurança.</p> - -<p>Veja <a href="$(HOME)/security/audit/packages">a lista de pacotes -que pensamos ser os mais importantes para serem auditados</a>, para sugestões -de como tomar sua decisão.</p> - -<p>Uma coisa que deve estar clara é que nós <em>não</em> estamos tentando -fazer com que um pacote seja auditado somente uma vez. Se muitas pessoas -decidirem examinar um mesmo pacote isso é uma coisa boa, já que demonstra que -muitas pessoas acreditam que o pacote é sensível à segurança.</p> - -<p>Por permitir uma seleção essencialmente aleatória de pacotes, nós -simplificamos a coordenação e eliminamos o problema de <q>como você pode -confiar na pessoa X para fazer um bom trabalho?</q> (Nós não precisamos -confiar, já que assumimos que cedo ou tarde alguém decidirá examinar o -mesmo programa).</p> - -<h2>Começando a auditoria</h2> - -<p>Após fazer a escolha do seu pacote, você deve iniciar a auditoria.</p> - -<p>Se você não tem certeza sobre o tipo de problemas que está procurando, -primeiro leia um livro sobre como desenvolver softwares seguros.</p> - -<p>O <a href="http://www.dwheeler.com/secure-programs">HOWTO programação -segura para Linux e Unix</a> (em inglês) tem muitas e boas informações -que podem te ajudar. -<a href="http://www.securecoding.org/">Código seguro: Princípios & Práticas</a> -(em inglês) do Mark G. Graff e Kenneth R. van Wyk também é um livro -excelente.</p> - -<p>Embora as ferramentas sejam imperfeitas, elas ainda assim podem ser -extremamente úteis para encontrar prováveis vulnerabilidades. Veja a -<a href="tools">página de ferramentas de auditoria</a> para mais informações -sobre algumas das ferramentas de auditoria disponíveis e como elas podem -ser usadas.</p> - -<p>Tão importante quanto olhar o código mesmo é ler a -documentação do pacote e tentar instalá-lo usando essa documentação.</p> - -<p>Isto pode permitir que você pense em maneiras de subverter o programa em -suas operações típicas.</p> - -<h2>Relatando problemas</h2> - -<p>Se você descobrir um problema dentro do pacote que está examinando, então -você deve relatá-lo. Quando relatar um bug de segurança, tente fornecer -também uma correção, de modo que os(as) desenvolvedores(as) possam -consertá-lo em um período oportuno. Não há necessidade de fornecer uma -demonstração de ataque (frequentemente chamada de <em>vulnerabilidade (exploit)</em> -ou <em>validação do conceito (proof of concept)</em>), já que a correção -deve falar por si mesma. É geralmente melhor investir tempo no fornecimento -de uma correção adequada do que fornecer um ataque de sucesso que -explore o bug.</p> - -<p>Aqui está uma lista de passos recomendados uma vez que você tenha encontrado -um bug de segurança no Debian.</p> - -<ol> - -<li>Tente produzir uma correção para o bug ou obter informação -suficiente para que outros(as) possam determinar a existência do bug. -Idealmente, cada relatório deve conter uma correção para o problema que foi -descoberto, correção que foi testada e verificada para realmente acabar com -o problema. - -<p>Se você não tiver uma correção, o melhor é dar mais detalhes -sobre o escopo do problema, sobre a severidade relativa ao problema e qualquer -forma de contorná-lo.</p></li> - -<li>Primeiro revise se o bug de segurança está presente na versão estável -(stable) do Debian ou se ele poderia estar presente em outras distribuições -ou em uma versão fornecida pelos(as) mantenedores(as) do código.</li> - -<li>Baseado na revisão acima, relate o problema: - -<ul> - -<li>Para os(as) mantenedores(as) do código através do e-mail de contato de -segurança deles(as), fornecendo a análise e a correção.</li> - -<li>Para o time de segurança do Debian se o bug está presente em uma versão -lançada do Debian. O time de segurança do Debian normalmente atribuirá um -<a href="$(HOME)/security/cve-compatibility">nome CVE</a> para a -vulnerabilidade. O time de segurança coordenará com outras distribuições Linux -se necessário e fará o contato com o(a) mantenedor(a) do pacote em seu nome. -Você também pode, contudo, enviar uma cópia do e-mail para o(a) mantenedor(a) -do pacote. Faça isso somente quando trabalhar com vulnerabilidades de baixo -risco (veja abaixo).</li> - -<li>Se o bug não está presente em uma versão lançada do Debian e o -aplicativo poderia estar presente em outras distribuições ou sistemas -operacionais, então mande um e-mail (em inglês) para <a -href="http://oss-security.openwall.org/wiki/mailing-lists/oss-security">oss-security</a> -(uma lista de discussão pública usada para relatar e discutir bugs de segurança -que foram divulgados publicamente). Você não precisa fazer isso se já enviou -o bug para o time de segurança do Debian, já que o time também vai encaminhar o -e-mail para a lista.</li> - -<li>Se o bug <strong>não</strong> está presente em uma versão lançada do Debian -e você está absolutamente certo(a) de que a aplicação <strong>não</strong> está -incluída em outras distribuições ou sistemas operacionais, então relate-o -através do sistema de rastreamento de bugs.</li> - -</ul></li> - -<li>Tão logo a vulnerabilidade for publicada (ou seja, quando o time de -segurança do Debian ou outro(a) fornecedor(a) enviou um alerta), um bug com -todas as informações relevantes deve ser registrado no sistema de rastreamento -de bugs do Debian para que se acompanhe o problema de segurança nas versões -não lançadas do Debian (isto é, <em>sid</em> ou <em>teste (testing)</em>). -Isto é feito pelo próprio time de segurança se você descobrir que eles não -fizeram isso ou você não relatou o bug para o time de segurança, então você -pode relatá-lo você mesmo(a). Certifique-se de colocar a tag adequada ao bug -(use a tag <em>security</em>, e de definir a prioridade adequada -(geralmente <em>grave</em> ou maior). Também certifique-se de que o título -do bug inclua o <a href="$(HOME)/security/cve-compatibility">nome CVE</a> -adequado se este nome já foi atribuído ao bug. Isto fornece uma maneira de -acompanhar os bugs de segurança de modo que eles sejam corrigidos tanto nas -versões lançadas como nas versão não lançadas do Debian.</li> - -<li>Se desejar, uma vez que o problema seja público, você pode encaminhar esta -informação para listas de discussões de divulgação pública maior, como a -<a href="https://lists.grok.org.uk/mailman/listinfo/full-disclosure">full-disclosure</a> -ou a -<a href="http://www.securityfocus.com/archive/1">Bugtraq</a>.</li> - -</ol> - -<p>Observe que esses passos podem variar, baseados no risco associado -à vulnerabilidade encontrada. Você precisa avaliar o risco baseado(a) em:</p> - -<ul> -<li>Se a vulnerabilidade é remota ou local.</li> -<li>As consequências da vulnerabilidade, se explorada.</li> -<li>O uso generalizado do software afetado pela vulnerabilidade.</li> -</ul> - -<p>Diferentes etapas devem ser tomadas, por exemplo, uma coisa é relatar um -ataque de symlink local que só pode ser usado por usuários(as) autenticados(as) -e que somente fornece um caminho de dano para o sistema. Outra coisa é relatar -um buffer overflow remoto que fornece privilégios administrativos e está -presente em um software que é largamente utilizado.</p> - -<p>Na maior parte dos casos, como a maioria dos bugs de segurança geralmente -não deve ser divulgada até depois que tenha sido corrigida, <em>não</em> relate, -como é usual, os bugs através do <a href="https://bugs.debian.org/">sistema de -rastreamento de bugs do Debian</a>. Em vez disso, relate o problema diretamente -para <a href="$(HOME)/security/">o time de segurança</a> que cuidará do -lançamento de um pacote atualizado e, uma vez corrigido, o relatará para o -BTS.</p> diff --git a/portuguese/security/audit/examples/Makefile b/portuguese/security/audit/examples/Makefile deleted file mode 100644 index 8e2b61fc353..00000000000 --- a/portuguese/security/audit/examples/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/portuguese,webwml/english,$(CURDIR))/Makefile diff --git a/portuguese/security/audit/examples/RATS.wml b/portuguese/security/audit/examples/RATS.wml deleted file mode 100644 index 66b93e0de1f..00000000000 --- a/portuguese/security/audit/examples/RATS.wml +++ /dev/null @@ -1,156 +0,0 @@ -#use wml::debian::template title="Exemplo de auditoria automatizada: RATS" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" - -<p>O <a href="https://packages.debian.org/rats">RATS</a> é um escaneador de -propósito geral para detectar potenciais problemas de segurança em algumas -linguagens de programação.</p> - -<h2>Executando o RATS</h2> - -<p>Executar o RATS é tão simples quanto invocar o comando com um diretório para -processar. Cada um dos arquivos de código-fonte reconhecidos será processado. -O RATS entende diversas linguagens de programação, C, Perl, PHP e Python, -e tratará cada uma como uma fonte válida para examinar.</p> - -<p>Existem diversas opções que podem ser passadas além do nome de diretório para -escanear, elas estão descritas nas páginas man.</p> -<p>As opções mais úteis são aquelas relativas à saída, tais como:</p> - -<ul> -<li>--warning <nível> (Define o nível de falhas a serem reportadas) -<ul> -<li>1 inclui somente padrão e alta severidade.</li> -<li>2 inclui média severidade (padrão).</li> -<li>3 inclui baixa severidade de vulnerabilidades.</li> -</ul></li> -<li>--xml (saída em XML)</li> -<li>--html (saída em HTML)</li> -</ul> - -<p>Assumindo que temos o <a href="test.c.html">arquivo teste</a> localizado -no diretório atual, e sem outros arquivos-fonte, podemos invocar o -escaneador com o seguinte comando::</p> -<pre> -rats --warning 1 --html . >output.html -</pre> -<p>Isto produzirá um arquivo HTML contendo os resultados da busca, que pode -ser lido em um navegador.</p> - -<h2>Os resultados</h2> - -<p>Executar o RATS contra nossa <a href="test.c.html">amostra de código</a> -produz a seguinte saída:</p> -<hr /> -# Nota do tradutor: trecho não traduzido, pois trata-se de saída de programa - -<div class="sampleblock"> - -<h3>Severity: High</h3> - -<p>Issue: fixed size global buffer</p> - -<p> - Extra care should be taken to ensure that character arrays that are - allocated on the stack are used safely. They are prime targets for - buffer overflow attacks. -</p> -<p> -File: <b>test.c</b><br> -Lines: 10 11 12 -</p> - -<h3>Severity: High</h3> - -<p>Issue: strcpy</p> - -<p> - Check to be sure that argument 2 passed to this function call will not - copy more data than can be handled, resulting in a buffer overflow. - </p> -<p> -File: <b>test.c</b><br> -Lines: 18 -</p> - -<h3>Severity: High</h3> - -<p>Issue: getenv</p> - -<p>Environment variables are highly untrustable input. They may be of any length, and contain any data. Do not make any assumptions regarding content or length. If at all possible avoid using them, and if it is necessary, sanitize them and truncate them to a reasonable length. - </p> -<p> -File: <b>test.c</b><br> -Lines: 22 24 </p> - -<h3>Severity: High</h3> - -<p>Issue: sprintf</p> - -<p> - Check to be sure that the format string passed as argument 2 to this - function call does not come from an untrusted source that could have added - formatting characters that the code is not prepared to handle. - Additionally, the format string could contain `%s' without precision that - could result in a buffer overflow. -</p> -<p> -File: <b>test.c</b><br> -Lines: 24 </p> - -<h3>Severity: High</h3> -<p>Issue: popen</p> -<p> - Argument 1 to this function call should be checked to ensure that it does - not come from an untrusted source without first verifying that it contains - nothing dangerous. -</p> -<p> -File: <b>test.c</b><br> -Lines: 33 </p> - -<h3>Severity: High</h3> - -<p> Issue: printf</p> - -<p> - Check to be sure that the non-constant format string passed as argument 1 - to this function call does not come from an untrusted source that could - have added formatting characters that the code is not prepared to handle. -</p> -<p> -File: <b>test.c</b><br> -Lines: 42 </p> -<p> -Total lines analyzed: <b>49</b><br> -Total time <b>0.000288</b> seconds<br> -<b>170138</b> lines per second</p> -</div> -<hr /> - -<p>Esta saída é bem volumosa, apesar do código mesmo ser bem curto - isto mostra -uma das desvantagens do escaneamento automático, que é a maior parte do volume -da saída.</p> - -<h2>Entendendo a saída</h2> - -<p>A saída que foi produzida é basicamente uma descrição das funções que ele -encontrou, o número da linha em que a falha foi detectada e uma descrição do -problema (como nós usamos o nível "--warning" - aviso - para restringir a -saída para somente funções de nível "alto", nós reduzimos a saída um -pouco).</p> - -<p>Cada um dos problemas que foram descobertos devem ser manualmente examinados -para ver se existe alguma coisa errada realmente ou se foi um falso -positivo (isto é, uma função que pode ser mal usada, mas está sendo usada -corretamente).</p> - -<p>Neste caso, podemos ver que todas as vulnerabilidades em nosso código -foram avistadas, mas não fica exatamente claro sem revisar o código com -um editor e examinar as linhas.</p> - -<p>Uma grande omissão é que a saída não inclui as linhas que são reportadas - -algo que o <a href="flawfinder">flawfinder</a> permite que você inclua.</p> -<hr /> - -<p><a href="..">Voltar para o projeto de auditoria</a> | <a href="index">Voltar para a página de amostra de auditoria</a></p> diff --git a/portuguese/security/audit/examples/flawfinder.wml b/portuguese/security/audit/examples/flawfinder.wml deleted file mode 100644 index ccceef23497..00000000000 --- a/portuguese/security/audit/examples/flawfinder.wml +++ /dev/null @@ -1,110 +0,0 @@ -#use wml::debian::template title="Exemplo de auditoria automatizada: flawfinder" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" - -<p>O <a href="https://packages.debian.org/flawfinder">flawfinder</a> é um -escaneador de propósito geral para encontrar e reportar potenciais falhas tanto -em código-fonte C quanto C++.</p> - - -<h2>Executando flawfinder</h2> - -<p>Executar o flawfinder é tão simples quanto invocar o comando com o nome de -diretórios ou arquivos para examinar. Se dado um nome de diretório, ele -processará todos os arquivos-fonte válidos que encontrar dentro daquele -diretório.</p> - -<p>Além de fornecer ao programa uma lista de arquivos ou diretórios, existem -diversas opções de linha de comando que podem ser usadas para controlar o -comportamento da ferramenta.</p> - -<p>Cada uma das opções é explicada nas páginas man, mas as seguintes opções -são particularmente úteis e serão usadas em nosso exemplo:</p> -<ul> -<li>--minlevel=X -<ul> -<li>Define um nível mínimo de risco X para inclusão na saída. Varia entre -1-5, com 1 sendo "baixo risco" e 5 sendo "alto risco".</li> -</ul></li> -<li>--html -<ul> -<li>Formata a saída como HTML em vez de texto simples.</li> -</ul></li> -<li>--context -<ul> -<li>Exibe o contexto, ou seja, a linha contendo a falha potencial.</li> -</ul></li> -</ul> - -<p>Para produzir um arquivo HTML contendo os resultados de nosso programa, -somente se preocupando com funções de "alto risco", executaríamos algo -assim:</p> -<pre> -flawfinder --html --context --minlevel=4 test.c > output.html -</pre> - -<h2>Os resultados</h2> - -<p>Executar o flawfinder contra nossa -<a href="test.c.html">amostra de código</a> produz a seguinte saída:</p> - -<hr /> -# Nota do tradutor: trecho não traduzido, pois trata-se da saída do programa -<div class="sampleblock"> -<p> -Examining test.c <br> -<ul> -<li>test.c:18: <b> [4] </b> (buffer) <i> strcpy: - Does not check for buffer overflows when copying to destination. - Consider using strncpy or strlcpy (warning, strncpy is easily misused). </i> -<pre> - strcpy( dir, argv[ 1 ] ); -</pre> -<li>test.c:24: <b> [4] </b> (buffer) <i> sprintf: - Does not check for buffer overflows. Use snprintf or vsnprintf. </i> - -<pre> - sprintf( dir, "%s", getenv( "HOME" ) ); -</pre> -<li>test.c:33: <b> [4] </b> (shell) <i> popen: - This causes a new program to execute and is difficult to use safely. - try using a library call that implements the same functionality if - available. </i> -<pre> - fp = popen( cmd, "r" ); -</pre> -<li>test.c:42: <b> [4] </b> (format) <i> printf: - If format strings can be influenced by an attacker, they can be - exploited. Use a constant for the format specification. </i> - -<pre> - printf( buff ); -</pre> -</ul> -<p> -Number of hits = 4 -<br> -Number of Lines Analyzed = 48 in 0.53 seconds (1392 lines/second) -<br> -</div> -<hr /> - -<h2>Entendendo a saída</h2> - -<p>Muito parecida com a saída do <a href="RATS">RATS</a>, este relatório é -muito simples de ler. Ele claramente mostra as funções que foram detectadas -como potencialmente perigosas, como também uma descrição do problema.</p> - -<p>A inclusão de informação contextual é muito útil também, já que ela pode -imediatamente atrair a atenção para áreas de interesse, ou rejeitar outros -relatórios como sendo inválidos.</p> - -<p>A análise da <a href="test.c">nossa amostra de código</a> é claramente -inteligente, no sentido de que ela não avisou sobre <i>toda</i> utilização -da problemática função <tt>strcpy</tt> - somente aquelas que considerou serem -potencialmente perigosas.</p> - -<p>Nesse sentido, ela conseguiu realçar todas as falhas do nosso código ao -mesmo tempo em que não teve falso positivos.</p> -<hr /> -<p><a href="..">Voltar para o projeto de auditoria</a> | <a href="index">Voltar para a página de amostra de auditoria</a></p> diff --git a/portuguese/security/audit/examples/index.wml b/portuguese/security/audit/examples/index.wml deleted file mode 100644 index b022f3afdb7..00000000000 --- a/portuguese/security/audit/examples/index.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::template title="Exemplos de auditoria automatizada" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="6097aaeb789f09a86133073acab93480df51405c" - -<p>Conforme explica a <a href="../tools">página de ferramentas de auditoria</a>, -existem vários pacotes disponíveis no repositório Debian que podem -ser usados para auditar automaticamente o código-fonte. </p> - - -<h2>Exemplos de auditoria</h2> -<p>Cada uma das ferramentas a seguir é testada com o mesmo fragmento de -<a href="test.c.html">código com bugs</a>. Isso permite que o resultado das -ferramentas seja comparado diretamente. </p> -<p>O código foi analisado com três ferramentas:</p> -<ul> -<li><a href="flawfinder">flawfinder</a></li> -<li><a href="RATS">RATS</a></li> -<li><a href="pscan">pscan</a></li> -</ul> -<hr /> -<p><a href="..">Voltar para o projeto de auditoria</a></p> diff --git a/portuguese/security/audit/examples/pscan.wml b/portuguese/security/audit/examples/pscan.wml deleted file mode 100644 index b6560f0f9ad..00000000000 --- a/portuguese/security/audit/examples/pscan.wml +++ /dev/null @@ -1,52 +0,0 @@ -#use wml::debian::template title="Exemplo de auditoria automatizada: pscan" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" - -<p>O <a href="https://packages.debian.org/pscan">pscan</a> é um pacote projetado -para auditar arquivos fonte C e C++ em busca por vulnerabilidades de -formato de string.</p> -<p>Não é uma ferramenta de auditoria de uso geral.</p> - -<h2>Executando o pscan</h2> -<p>Executar pscan é uma simples questão de executá-lo com o nome de um arquivo, -ou arquivos, para verificar. Por exemplo:</p> -<pre> -pscan <a href="test.c.html">test.c</a> -</pre> -<p>A saída será escrita diretamente no console:</p> -<hr /> -<samp> -test.c:42 SECURITY: printf call should have "%s" as argument 0 -</samp> -<hr /> - -<h2>A saída</h2> -<p>A saída neste caso é fácil de entender. É corretamente identificado o - fato que a chamada <tt>printf</tt> não responde seus - argumentos de forma apropriada.</p> -<p>A saída também nos mostra o que devemos fazer para corrigir a falha, -altere o código que lê: -<pre> -printf( buff ); -</pre> -<p>para ler:</p> -<pre> -printf( "%s", buff ); -</pre> -<p>Não fazer isso poderia permitir que um(a) invasor(a), que possa controlar a -saída de <tt>ls</tt>, atacar o programa, criando um arquivo chamado "%s", ou -semelhante.</p> -<p>Ataques de formato de string são discutidos -<a href="http://www.securityfocus.com/guest/3342">nesta introdução do foco -de segurança</a>.</p> -<p>O <a href="http://www.dwheeler.com/secure-programs/">HOWTO de programação -segurança para Linux e Unix</a> explica como se proteger contra esses ataques -em funções variáveis normalmente usadas, como:</p> -<ul> -<li>printf</li> -<li>fprintf</li> -<li>syslog</li> -</ul> -<hr /> -<p><a href="..">Voltar para o projeto de auditoria</a> -<a href="index">Voltar para a página de exemplos de auditoria</a></p> diff --git a/portuguese/security/audit/faq.wml b/portuguese/security/audit/faq.wml deleted file mode 100644 index 6e9ba2a59ca..00000000000 --- a/portuguese/security/audit/faq.wml +++ /dev/null @@ -1,149 +0,0 @@ -#use wml::debian::template title="FAQ de auditoria de segurança do Debian" -#use wml::debian::toc -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -<p>Esta página lista algumas das questões mais comuns que -visitantes podem ter ao ouvir pela primeira vez sobre este projeto.</p> - -<toc-display> - -<toc-add-entry name="what">O que é o projeto de auditoria de segurança do -Debian?</toc-add-entry> - -<p>O projeto de auditoria de segurança do Debian é um pequeno projeto conduzido -dentro do projeto Debian, desenhado para ter uma atitude proativa frente -à segurança pela realização de auditorias de código-fonte dos pacotes -disponíveis aos(às) usuários(as) do Debian.</p> - -<p>A auditoria é focada na distribuição estável (stable) do Debian, com o -trabalho de auditoria sendo orientado pelas <a href="packages">diretrizes -de priorização de pacotes</a>.</p> - -<toc-add-entry name="start">Quando o projeto de auditoria de segurança do -Debian foi iniciado?</toc-add-entry> - -<p>O primeiro aviso foi lançado em dezembro de 2002, seguido por uma -série de avisos adicionais posteriormente.</p> - -<p>Ele continuou como uma função não oficial até ter sido concedido seu -status <q>oficial</q> em maio de 2004 pelo líder do projeto Debian, Martin -Michlmayr.</p> - -<toc-add-entry name="advisories-from-audit">Que avisos foram -resultado de esforços de auditoria?</toc-add-entry> - -<p>Múltiplos avisos foram lançados como parte do trabalho de -auditoria, e todos aqueles que foram lançados antes do projeto ter -recebido seu status oficial estão listados na <a href="advisories">página -de avisos de auditoria</a>.</p> - -<p>Espera-se que em um futuro próximo, os avisos publicamente conhecidos do -projeto possam ser encontrados ao se ler os relatórios -de avisos de segurança do Debian e ao se procurar pelo <q>projeto de -auditoria de segurança do Debian</q>.</p> - -<toc-add-entry name="advisories">Todo o trabalho de auditoria está relacionado -com avisos?</toc-add-entry> - -<p>Na verdade, não. Existem muitos problemas de segurança que o processo -de auditoria descobriu que não são imediatamente exploráveis (eles podem, -contudo, fazer com que o programa quebre). Outros problemas de segurança que -podem ser explorados, e que nós descobrimos, não estavam presentes na versão -estável (stable) oficial do Debian, mas estavam presentes na versão teste -(testing) e instável (unstable). -Todos foram relatados através do sistema de rastreamento de bugs do Debian -(e em alguns casos, diretamente aos(às) autores(as)).</p> - - -<toc-add-entry name="credit">Quem contribuiu para este trabalho?</toc-add-entry> - -<p>Steve Kemp começou o projeto de auditoria de segurança do Debian, criando -o processo inicial e testando-o ao encontrar muitas vulnerabilidades.</p> - -<p>Ulf Härnhammar juntou-se ao projeto durante este período não oficial inicial -e encontrou diversas vulnerabilidades que foram logo corrigidas; Ulf foi -logo seguido por Swaraj Bontula e Javier Fernández-Sanguino, que -também encontraram muitos e significantes problemas de segurança.</p> - -<p><a href="http://www.dwheeler.com">David A. Wheeler</a> instigou Steve -Kemp a se voluntariar para liderar o projeto como um projeto oficial do -Debian, o que foi possível pelo envolvimento do líder do projeto Debian, -Martin Michlmayr. O David também fez várias sugestões úteis sobre o conteúdo -dessas páginas, diretamente contribuindo para várias seções.</p> - -<p>O <a href="$(HOME)/security">time de segurança do -Debian</a> foi muito prestativo em fazer das auditorias um sucesso, -garantindo que qualquer vulnerabilidade encontrada fosse rapidamente -corrigida e distribuída para o mundo.</p> - -<p>As seguintes pessoas contribuíram com ao menos um aviso de segurança -em nome do projeto:</p> - -#include "$(ENGLISHDIR)/security/audit/data/credits.inc" - -<p>Mais contribuidores(as) são sempre bem-vindos(as)!</p> - - -<toc-add-entry name="contribute">Como eu posso contribuir?</toc-add-entry> - -<p>Se você tem tempo e habilidades necessários para auditar um pacote, então -simplesmente vá em frente e faça!</p> - -<p>A <a href="auditing">visão geral sobre auditoria</a> deve te oferecer uma -boa ideia de como realizar o trabalho — qualquer dúvida adicional que -você possa ter pode ser perguntada (em inglês) na <a -href="https://lists.debian.org/debian-security/">lista de discussão -debian-security</a>.</p> - -# A FAZER - Lista antiga, não mais disponível -# Perguntar ao Steve Kemp para fornecer os arquivos e movê-los para uma lista de -# discussão oficial? -#<a -#href="http://shellcode.org/mailman/listinfo/debian-audit">lista de discussão -#debian-audit</a>.</p> - -<toc-add-entry name="mailinglist">Eu posso discutir sobre pacotes específicos na lista de discussão?</toc-add-entry> - -<p>O melhor é que você não nomeie os pacotes contendo problemas que você -descobriu antes de uma <a href="$(HOME)/security/">DSA</a> ter sido -lançada. Já que isto permite que usuários(as) maliciosos(as) se aproveitem -de qualquer falha que você descrever antes delas serem corrigidas.</p> - -<p>Em vez disso, a lista de discussão pode ser usada para descrever uma -parte do código e para perguntar as opiniões se ele é explorável, e como -pode ser corrigido.</p> - -<toc-add-entry name="maintainer">Como eu posso contribuir sendo um(a) -mantenedor(a) de pacote?</toc-add-entry> - -<p>Os(as) mantenedores(as) de pacotes podem ajudar garantindo a segurança -do software que eles(as) empacotam ao examinar o códigos eles(as) mesmos(as), -ou pedindo por ajuda.</p> - -<p>Por favor veja a síntese sobre <a href="maintainers">auditoria para -mantenedores(as) de pacotes</a>.</p> - -<toc-add-entry name="reporting">Como eu reporto um problema que eu -descobri?</toc-add-entry> - -<p>Existe uma seção no <a href="$(HOME)/security/faq#discover">FAQ do -time de segurança</a> descrevendo o processo.</p> - -<toc-add-entry name="clean">Os pacotes auditados e considerados limpos estão -disponíveis?</toc-add-entry> - -<p>Não, os pacotes que foram examinados e não tiveram problemas encontrados -dentro deles não são listados publicamente.</p> - -<p>Isto acontece, em parte, porque pode haver problemas escondidos -que passaram desapercebidos, e em parte porque as auditorias são conduzidas -sem um grau muito grande de coordenação por muitas pessoas.</p> - -<toc-add-entry name="moreinfo">Onde eu posso encontrar mais -informações?</toc-add-entry> - -<p>Atualmente não existe uma lista de discussão na qual você possa se inscrever -para fazer perguntas. Enquanto isso, por favor use a -<a -href="https://lists.debian.org/debian-security/">lista de discussão -debian-security</a>.</p> diff --git a/portuguese/security/audit/index.wml b/portuguese/security/audit/index.wml deleted file mode 100644 index b8786ec7c97..00000000000 --- a/portuguese/security/audit/index.wml +++ /dev/null @@ -1,50 +0,0 @@ -#use wml::debian::template title="Projeto de Auditoria de Segurança do Debian" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="57f73cd8cc7f0c94f280e3444c075d201e8d42a8" - -<p>O Projeto de Auditoria de Segurança do Debian é um projeto cujo foco -é auditar os pacotes Debian, procurado problemas de segurança.</p> - -<p>No pouco tempo que este projeto está em execução, ele foi responsável por -vários <a href="$(HOME)/security/">Alertas de Segurança Debian</a>, provando -que este processo de auditoria de código realmente ajuda a melhorar a segurança -do Debian. Esperamos que mais alertas resultem de trabalhos futuros.</p> - -<p>Tomando uma postura pró-ativa na auditoria do código nós ajudamos a -assegurar que o Debian continue seu longo histórico de levar a segurança -a sério.</p> - - -<h2>Escopo da Auditoria</h2> - -<p>O objetivo do projeto é auditar o maior número possível de pacotes -da versão estável do Debian em busca de falhas em potencial. Pacotes -importantes que estão contidos na distribuição instável também podem ser -examinados por falhas, diminuindo a probabilidade de pacotes inseguros -entrarem na versão estável.</p> - -<p>Devido ao tamanho dos lançamentos da versão do Debian, fica inviável -para um pequeno grupo ser capaz de fazer auditoria de todos os -pacotes. Então foi criado um sistema de priorização de pacotes -que são mais sensíveis a aspectos de segurança.</p> - -<p>As <a href="packages">diretrizes de priorização dos pacotes</a> tentam -certificar que o tempo será utilizado auditando pacotes que importam, e a -<a href="tools">visão geral das ferramentas de auditoria</a> mostra alguns -dos <q>scanners</q> para código fonte que podem ser usados para guiar uma -auditoria.</p> - - -<h2>Alertas Previamente Lançados</h2> - -<p>Para cada pacote no qual uma falha de segurança é descoberta, haverá um -<a href="$(HOME)/security/">DSA</a> lançado pela equipe de segurança do -Debian.</p> - -<p>Há uma <a href="advisories">lista dos alertas anteriores</a> que resultaram -diretamente do processo de auditoria.</p> - -<h2>Mais Informações</h2> - -<p>Mais informações sobre o projeto podem ser encontradas na <a -href="faq">FAQ da Auditoria de Segurança</a>.</p> diff --git a/portuguese/security/audit/maintainers.wml b/portuguese/security/audit/maintainers.wml deleted file mode 100755 index 9d1ff1b11e7..00000000000 --- a/portuguese/security/audit/maintainers.wml +++ /dev/null @@ -1,56 +0,0 @@ -#use wml::debian::template title="Auditoria para mantenedores(as) de pacotes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="534d1b782cfb92f46dc41fd064f779fffc329b12" - -<p>Se você é um(a) mantenedor(a) de um pacote que está contido no -repositório do Debian, por favor considere examinar o código por si -mesmo(a).</p> - -<p>A disponibilidade de <a href="tools">ferramentas de auditoria de código-fonte</a> -pode facilitar esse processo significativamente; mesmo que você não tenha tempo -de fazer uma auditoria minuciosa você mesmo(a), você poderá encontrar áreas -que são potencialmente problemáticas.</p> - -<p>Se necessitar de auxílio, por favor contate ou o -<a href="$(HOME)/security/#contact">time de segurança do Debian</a> , ou a -<a href="https://lists.debian.org/debian-security/">lista (pública) de discussão debian-security</a> -para ajuda em como conduzir uma auditoria de código-fonte.</p> - -# considere juntar-se à <a -#href="http://shellcode.org/mailman/listinfo/debian-audit">lista de discussão -#debian-audit</a> e peça para um(a) voluntário(a) examinar seu -#pacote.</p> - -<h2>Fontes para mantenedores(as)</h2> - -<p>Mantenedores(as) que desejem revisar o código-fonte podem estar -interessados(as) em ler o artigo (em inglês) da Debconf6 <a -href="https://people.debian.org/~jfs/debconf6/security/weeding_security_bugs.pdf">Erradicando -bugs de segurança no Debian</a> (Weeding out security bugs in Debian) -(<a href="https://people.debian.org/~jfs/debconf6/security/slides/weeding_security_bugs.slides.pdf">slides</a>) -ou as notas (em inglês) <a -href="https://people.debian.org/~jfs/debconf6/security/common-problems.txt">Uma -curta e prática visão geral de como encontrar alguns erros comuns em programas -escritos em várias linguagens</a> (Short, practical overview on how to find a -few common mistakes in programs written in various languages). -</p> - -<p>O artigo <q>Erradicando bugs de segurança no Debian</q> foi apresentado na -Debconf6 no México e foi parte de um workshop. Para mantenedores(as) novos(as) -em auditoria, -<a href="https://people.debian.org/~jfs/debconf6/security/samples/">os -exemplos de código</a> e os <a -href="http://meetings-archive.debian.net/pub/debian-meetings/2006/debconf6/">vídeos -do workshop</a> podem ser úteis.</p> - -<h2>Novos lançamentos</h2> - -<p>Como parte de ser um(a) mantenedor(a) responsivo(a), você também deve ficar -de olho nos novos lançamentos do(a) autor(a) do software do seu pacote. Se -o arquivo de registro de alterações (changelog) menciona um problema de -segurança, você deve tentar observar se você tem uma versão do código na -versão estável (stable) que é vulnerável.</p> - -<p>Se você tem uma versão vulnerável disponível na versão estável (stable), -por favor contate o time de segurança - como descrito <a -href="$(HOME)/security/faq">no FAQ do time de segurança</a>.</p>
\ No newline at end of file diff --git a/portuguese/security/audit/packages.wml b/portuguese/security/audit/packages.wml deleted file mode 100644 index 1d24985adb9..00000000000 --- a/portuguese/security/audit/packages.wml +++ /dev/null @@ -1,107 +0,0 @@ -#use wml::debian::template title="Diretrizes para priorização da auditoria de pacotes"
-#use wml::debian::recent_list
-#use wml::debian::translation-check translation="8536cf419447d00f034a8e3ad9efa6a243462fe7"
-
-<p>Ao executar uma auditoria na distribuição Debian, uma das
-primeiras questões é decidir quais pacotes examinar.</p>
-
-<p>Idealmente todos os pacotes deveriam ser examinados, mas devido ao tamanho
-do repositório deve haver uma maneira simples de priorizar o
-trabalho.</p>
-
-<p>De acordo com um simples conjunto de diretrizes, os pacotes que devem ser
-examinados prioritariamente são:
-
-<ol>
-<li>Qualquer binário que é instalado com setuid ou setgid</li>
-
-<li>Qualquer coisa que provê um serviço pela rede.</li>
-
-<li>Qualquer script CGI/PHP acessível remotamente.</li>
-
-<li>Qualquer coisa que contenha um cronjob ou outro script automatizado que
-seja executado com privilégio de root.</li>
-
-</ol>
-
-<p>Pacotes populares devem geralmente receber maior prioridade já que
-qualquer problema neles afetará um número maior de usuários(as).</p>
-
-<p>O <a href="https://popcon.debian.org/">concurso de popularidade do Debian</a>
-mantém uma pesquisa contínua para mostrar quais são os pacotes mais
-populares entre os voluntários(as) do concurso.</p>
-
-<p>Veja particularmente <a
-href="https://popcon.debian.org/by_vote">os pacotes ordenados por voto</a>.
-Essa lista <q>por voto</q> classifica os pacotes por quão frequentemente eles
-são usados pelas pessoas que participam da pesquisa.</p>
-
-<p>Se um pacote é importante para segurança, especialmente se é enquadrado em
-um dos critérios acima, e é popular (de acordo com a pesquisa de popularidade),
-então ele é <em>definitivamente</em> um candidato para auditoria.</p>
-
-
-<h2>Binários com <tt>setuid</tt> e <tt>setgid</tt></h2>
-
-<p>Binários com <tt>setuid</tt> e <tt>setgid</tt> são tradicionalmente
-alvos de auditoria de segurança, pois o comprometimento de binários vulneráveis
-com quaisquer dessas permissões pode permitir que um(a) usuário(a) local obtenha
-privilégios que ele(a) não deveria ter.</p>
-
-<p>Para ajudar nessa busca, há uma lista com todos os binários com setuid e
-setgid os quais estão presentes na versão estável atual.</p>
-
-<ul>
-
-<li><a href="https://lintian.debian.org/tags/setuid-binary.html">Relatório
-gerado pelo lintian de todos binários com setuid no Debian</a></li>
-
-<li><a href="https://lintian.debian.org/tags/setgid-binary.html">Relatório
-gerado pelo lintian de todos binários com setgid no Debian</a></li>
-
-</ul>
-
-# TODO (jfs): the above does not provide the same information as was available at
-# http://shellcode.org/Setuid/
-# ask Steve Kemp to move this feature to a Debian-administered machine?
-# (or to the Alioth project)
-#
-
-<p>Quando se trata de escolher os binários, é importante atentar-se
-ao fato de que alguns deles são mais sensíveis na segurança do que outros.
-Os binários com setuid(root) devem ser examinados antes de setgid(games) e
-setuid(bugs) por exemplo.</p>
-
-
-<h2>Servidores de rede</h2>
-
-<p>Servidores de rede são outra fonte óbvia de inspiração quando
-se trata de realizar uma auditoria de segurança já que uma vulnerabilidade
-explorável neles pode permitir que atacantes comprometam máquinas remotamente.
-</p>
-
-<p>Comprometimentos remotos são geralmente mais severos que comprometimentos
-locais.</p>
-
-<h2>Scripts on-line</h2>
-
-<p>Scripts on-line, especialmente scripts CGI, estão realmente na mesma
-classe que servidores de rede — embora seu servidor de páginas em si
-seja seguro, a segurança dos scripts que rodam nele são igualmente importantes.
-</p>
-
-<p>Um bug em um script disponível através da rede é tão
-sério quanto um bug em um servidor aguardando conexões — ambos podem
-permitir que a máquina seja comprometida da mesma forma.</p>
-
-<h2>Cronjobs e serviços do sistema</h2>
-
-<p>Embora não haja muitos destes, vale a pena olhar os
-scripts automáticos, cronjobs, etc, que são incluídos em
-pacotes.</p>
-
-<p>Vários coisas de suporte rodam como root por padrão para limpar
-arquivos de log, etc.</p>
-
-<p>A exploração bem sucedida de um ataque a link simbólico pode resultar em
-um comprometimento local.</p>
diff --git a/portuguese/security/audit/tools.wml b/portuguese/security/audit/tools.wml deleted file mode 100755 index a2a0fcb46c4..00000000000 --- a/portuguese/security/audit/tools.wml +++ /dev/null @@ -1,150 +0,0 @@ -#use wml::debian::template title="Ferramentas de auditoria de segurança" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" - -<p>Existem diversos pacotes disponíveis dentro do repositório do Debian -que são projetados para ajudar em auditorias de código-fonte. Dentre eles:</p> - -<ul> -<li><a href="https://packages.debian.org/flawfinder">Flawfinder</a> -<ul> -<li><a href="examples/flawfinder">Exemplo de utilização do flawfinder</a></li> -</ul></li> -<li><a href="http://archive.debian.net/woody/its4">ITS4</a> -<ul> -<li>Não existe exemplo para o ITS4 já que ele foi removido da distribuição -instável (unstable).</li> -</ul></li> -<li><a href="https://packages.debian.org/rats">RATS</a> -<ul> -<li><a href="examples/RATS">Exemplo de utilização do RATS</a></li> -</ul></li> -<li><a href="https://packages.debian.org/pscan">pscan</a> -<ul> -<li><a href="examples/pscan">Exemplo de utilização do pscan</a></li> -</ul></li> -</ul> - -<p>Além disso, note que existem outras ferramentas específicas para -determinados conjuntos de vulnerabilidades de segurança que talvez não -estejam empacotadas para o Debian ainda, mas podem ser úteis para um(a) -auditor(a). Dentre elas:</p> - -<ul> -<li>Ferramentas específicas para bugs XSS: -<ul> -<li><a href="http://freecode.com/projects/xsslint/">Xsslint</a></li> -<li><a href="http://www.devitry.com/screamingCSS.html">ScreamingCSS</a></li> -</ul></li> -<li>Ferramentas para teste de navegadores web: -<ul> -<li><a href="http://www.securityfocus.com/archive/1/378632">MangleMe</a></li> -</ul></li> -</ul> - -<p>Nenhuma dessas ferramentas é perfeita e somente podem ser usadas como -diretrizes para estudo posterior, mas dado que são muito simples de usar, -é válido gastar um tempo para tentá-las.</p> - -<p>Cada uma das ferramentas tem diferentes pontos fortes e fracos, então -recomenda-se usar mais de uma.</p> - - -<h2>Flawfinder</h2> - -<p>O flawfinder é uma ferramenta Python que é projetada para analisar -código-fonte C e C++ e procurar por possíveis falhas de segurança.</p> - -<p>Quando executada contra um diretório contendo código-fonte, ela retornará -um relatório dos possíveis problemas detectados, classificados por risco -(onde <i>risco</i> é um inteiro 1–5). Para ignorar riscos menores, é -possível dizer ao programa para não reportar falhas abaixo de um determinado -nível de risco. Por padrão a saída aparecerá em texto puro, mas um relatório -HTML também está disponível.</p> - -<p>O programa trabalha escaneando o código e procurando pelo uso de -funções que estão contidas dentro do seu banco de dados de funções, que -são comumente usadas indevidamente.</p> - -<p>Para ajudar na leitura do relatório, é possível fazer com que o relatório -de saída contenha a linha que possua a função que está sendo usada; isto pode -ser útil para detectar imediatamente um problema ou rejeitá-lo da mesma -forma.</p> - -<p>Você pode ver um exemplo de como o flawfinder é usado, e sua saída, -na <a href="examples/">seção de exemplos de auditoria</a>.</p> - -<h2>ITS4</h2> - -<p>O ITS4 é uma ferramenta contida na seção non-free do repositório Debian e -somente está disponível para a versão <q>woody</q>.</p> - -<p>O ITS4 pode ser usado para escanear tanto código C quanto C++, procurando -por possíveis brechas de segurança, muito parecido com o flawfinder.</p> - -<p>A saída que ele produz tenta ser inteligente, ignorando alguns casos -nos quais as chamadas para funções perigosas foram feitas -cuidadosamente.</p> - - -<h2>RATS</h2> - -<p>O RATS é uma ferramenta similar às listadas acima, com a exceção -de que ela vem com suporte para uma gama muito maior de linguagens. -Atualmente, ela tem suporte para C, C++, Perl, PHP e Python.</p> - -<p>A ferramenta usa um arquivo XML simples para ler suas vulnerabilidades, -de modo que é uma das ferramentas disponíveis mais fáceis de modificar. -Novas funções podem ser adicionadas facilmente para cada linguagem -suportada.</p> - -<p>Você pode ver um exemplo de como o RATS é usado, e sua saída, na -<a href="examples/">seção de exemplos de auditoria</a>.</p> - -<h2>pscan</h2> - -<p>O pscan difere das ferramentas descritas anteriormente -porque não é um scanner de propósito geral. Ao contrário, ela é -um programa especificamente voltado para detecção de bugs de formato de -string.</p> - -<p>A ferramenta tentará encontrar possíveis problemas com o uso de -funções variadas dentro do código-fonte C e C++, tais como -<tt>printf</tt>, <tt>fprintf</tt> e <tt>syslog</tt>.</p> - -<p>Bugs de formato de string são fáceis de detectar e corrigir; embora -eles sejam a mais recente classe de ataques de software, a maioria -deles provavelmente já foi encontrada e reparada.</p> - -<p>Você pode ver um exemplo de como o pscan é usado, e sua saída, na -<a href="examples/">seção de exemplos de auditoria</a>.</p> - - -<h2>Entendendo a saída do escaneamento</h2> - -<p>Cada uma das ferramentas gerais de escaneamento incluirá uma saída -descrevendo a falha detectada e possivelmente dará sugestões sobre como o -código pode ser corrigido.</p> - -<p>Por exemplo, a saída a seguir foi retirada do RATS e -descreve os perigos da <tt>getenv</tt>:</p> - -<p>"Variáveis de ambiente são entradas altamente não confiáveis. Elas podem -ser de qualquer tamanho e podem conter qualquer dado. Não faça qualquer -suposição em relação ao conteúdo ou tamanho. Se possível evite usá-las a -todo custo, e se necessário, higienize-as e restrinja-as para tamanhos -razoáveis".</p> - -<p>Se precisar de conselhos adicionais sobre como corrigir uma falha que -foi reportada, você deve estudar um livro de programação segura, como o -documento (em inglês) <a href="http://www.dwheeler.com/secure-programs/">HOWTO -programação segura para Linux e Unix</a> do David A. Wheeler.</p> - -<p>(Lembre-se de que ao reportar problemas de segurança, uma correção (patch) -que conserte essa brecha é altamente apreciada)</p> - -<p>Discussões relativas ao fechamento de partes de código particularmente -problemáticos podem ser feitas na -<a href="https://lists.debian.org/debian-security/">lista de discussão -debian-security</a>; como esta é uma lista de discussão com arquivo público, -tenha cuidado em não deixar óbvio qual programa contém a falha.</p>
\ No newline at end of file diff --git a/russian/security/audit/2002/Makefile b/russian/security/audit/2002/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/security/audit/2002/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/security/audit/2002/index.wml b/russian/security/audit/2002/index.wml deleted file mode 100644 index 9e12a70552e..00000000000 --- a/russian/security/audit/2002/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Рекомендации аудита безопасности Debian за 2002 год" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Lev Lamberov" - -<h2>Рекомендации, выпущенные в 2002 году</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p>Вернуться назад к <a href="..">проекту по аудиту безопасности</a> или к <a href="../advisories">списку рекомендаций</a>.</p> - diff --git a/russian/security/audit/2003/Makefile b/russian/security/audit/2003/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/security/audit/2003/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/security/audit/2003/index.wml b/russian/security/audit/2003/index.wml deleted file mode 100644 index 47ddd445fb7..00000000000 --- a/russian/security/audit/2003/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Рекомендации аудита безопасности Debian за 2003 год" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Lev Lamberov" - -<h2>Рекомендации, выпущенные в 2003 году</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2003.inc" - -<p>Вернуться назад к <a href="..">проекту по аудиту безопасности</a> или к <a href="../advisories">списку рекомендаций</a>.</p> - diff --git a/russian/security/audit/2004/Makefile b/russian/security/audit/2004/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/security/audit/2004/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/security/audit/2004/index.wml b/russian/security/audit/2004/index.wml deleted file mode 100644 index dac7ea43608..00000000000 --- a/russian/security/audit/2004/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Рекомендации аудита безопасности Debian за 2004 год" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Lev Lamberov" - -<h2>Рекомендации, выпущенные в 2004 году</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2004.inc" - -<p>Вернуться назад к <a href="..">проекту по аудиту безопасности</a> или к <a href="../advisories">списку рекомендаций</a>.</p> - diff --git a/russian/security/audit/2005/Makefile b/russian/security/audit/2005/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/security/audit/2005/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/security/audit/2005/index.wml b/russian/security/audit/2005/index.wml deleted file mode 100644 index 270c648a288..00000000000 --- a/russian/security/audit/2005/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Рекомендации аудита безопасности Debian за 2005 год" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Lev Lamberov" - -<h2>Рекомендации, выпущенные в 2005 году</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2005.inc" - -<p>Вернуться назад к <a href="..">проекту по аудиту безопасности</a> или к <a href="../advisories">списку рекомендаций</a>.</p> - diff --git a/russian/security/audit/2006/Makefile b/russian/security/audit/2006/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/security/audit/2006/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/security/audit/2006/index.wml b/russian/security/audit/2006/index.wml deleted file mode 100644 index 8d12ab39434..00000000000 --- a/russian/security/audit/2006/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Рекомендации аудита безопасности Debian за 2006 год" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Lev Lamberov" - -<h2>Рекомендации, выпущенные в 2006 году</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2006.inc" - -<p>Вернуться назад к <a href="..">проекту по аудиту безопасности</a> или к <a href="../advisories">списку рекомендаций</a>.</p> - diff --git a/russian/security/audit/2007/Makefile b/russian/security/audit/2007/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/security/audit/2007/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/security/audit/2007/index.wml b/russian/security/audit/2007/index.wml deleted file mode 100644 index ac242e00fa5..00000000000 --- a/russian/security/audit/2007/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Рекомендации аудита безопасности Debian за 2007 год" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Lev Lamberov" - -<h2>Рекомендации, выпущенные в 2007 году</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2007.inc" - -<p>Вернуться назад к <a href="..">проекту по аудиту безопасности</a> или к <a href="../advisories">списку рекомендаций</a>.</p> - diff --git a/russian/security/audit/2008/Makefile b/russian/security/audit/2008/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/security/audit/2008/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/security/audit/2008/index.wml b/russian/security/audit/2008/index.wml deleted file mode 100644 index 108d64480a2..00000000000 --- a/russian/security/audit/2008/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Рекомендации аудита безопасности Debian за 2008 год" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" maintainer="Lev Lamberov" - -<h2>Рекомендации, выпущенные в 2008 году</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2008.inc" - -<p>Вернуться назад к <a href="..">проекту по аудиту безопасности</a> или к <a href="../advisories">списку рекомендаций</a>.</p> - diff --git a/russian/security/audit/2009/Makefile b/russian/security/audit/2009/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/security/audit/2009/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/security/audit/2009/index.wml b/russian/security/audit/2009/index.wml deleted file mode 100644 index f1eab857cfc..00000000000 --- a/russian/security/audit/2009/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Рекомендации аудита безопасности Debian за 2009 год" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" maintainer="Lev Lamberov" - -<h2>Рекомендации, выпущенные в 2009 году</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Вернуться назад к <a href="..">проекту по аудиту безопасности</a> или к <a href="../advisories">списку рекомендаций</a>.</p> - diff --git a/russian/security/audit/2011/Makefile b/russian/security/audit/2011/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/security/audit/2011/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/security/audit/2011/index.wml b/russian/security/audit/2011/index.wml deleted file mode 100644 index 3ddfa3c3908..00000000000 --- a/russian/security/audit/2011/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Рекомендации аудита безопасности Debian за 2011 год" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="458c03fd57fc50534f97eccb28081fcc2c9cd180" maintainer="Lev Lamberov" - -<h2>Рекомендации, выпущенные в 2011 году</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" - -<p>Вернуться назад к <a href="..">проекту по аудиту безопасности</a> или к <a href="../advisories">списку рекомендаций</a>.</p> - diff --git a/russian/security/audit/Makefile b/russian/security/audit/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/security/audit/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/security/audit/advisories.wml b/russian/security/audit/advisories.wml deleted file mode 100644 index 74eb109760d..00000000000 --- a/russian/security/audit/advisories.wml +++ /dev/null @@ -1,24 +0,0 @@ -#use wml::debian::template title="Рекомендации аудита безопасности Debian" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0ad4d180b114f128c3363384351694a7bbe6a069" maintainer="Lev Lamberov" - -<p>Здесь вы можете видеть самые последние рекомендации, выпущенные в результате -работы проекта по аудиту безопасности Debian.</p> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Также доступны ранее выпущенные рекомендации:</p> - -<ul> -<li><a href="/security/audit/2011">2011</a></li> -<li><a href="/security/audit/2009">2009</a></li> -<li><a href="/security/audit/2008">2008</a></li> -<li><a href="/security/audit/2007">2007</a></li> -<li><a href="/security/audit/2006">2006</a></li> -<li><a href="/security/audit/2005">2005</a></li> -<li><a href="/security/audit/2004">2004</a></li> -<li><a href="/security/audit/2003">2003</a></li> -<li><a href="/security/audit/2002">2002</a></li> -</ul> - diff --git a/russian/security/audit/auditing.wml b/russian/security/audit/auditing.wml deleted file mode 100644 index ba063d8bc29..00000000000 --- a/russian/security/audit/auditing.wml +++ /dev/null @@ -1,160 +0,0 @@ -#use wml::debian::template title="Выполнение аудита" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0c51b8ff34c17868bd2f86ac91fef7abc581e1e9" maintainer="Lev Lamberov" - - -<p>Эта страница содержит краткий обзор шагов, необходимых для выполнения - аудита какого-либо пакета.</p> - -<p>Первым шагом является выбор пакета для исследования, вам следует - выбрать такой пакет, который более критичен в плане безопасности.</p> - -<p>Предложения о том, как сделать выбор см. в <a -href="$(HOME)/security/audit/packages">списке пакетов, -которые, как мы считаем, наиболее важны для аудита</a>.</p> - -<p>Следует прояснить, что мы <em>не</em> пытаемся - сделать так, чтобы какой-то пакет проверялся только один раз. Если много людей захотят - проверить один и тот же пакет, это хорошо, поскольку это демонстрирует, что - они считают этот пакет чувствительным по отношению к проблемам безопасности.</p> - -<p>Допуская в сущности случайный выбор пакетов, мы упрощаем -координацию и устраняем проблему <q>откуда вы знаете, что человек -X выполнит работу хорошо?</q> (Нам не нужно этого допускать, так как раньше или позже -кто-то ещё решит проверить ту же программу).</p> - -<h2>Начинаем аудит</h2> - -<p>После того, как вы выбрали пакет, вам нужно начать -аудит.</p> - -<p>Если вы ещё не знаете, какие проблемы искать, первым -делом начните с чтения книги о том, как разрабатывать безопасное ПО.</p> - -<p><a href="http://www.dwheeler.com/secure-programs">HOWTO по безопасному -программированию для Linux и Unix</a> содержит много хорошей -информации, которая может вам помочь. -<a href="http://www.securecoding.org/">Написание безопасного кода: принципы и практики</a> -Марка Дж. Граффа (Mark G. Graff) и Кеннета Р. ван Вайка (Kenneth R. van Wyk) также является -прекрасной книгой.</p> - -<p>Несмотря на то, что инструменты несовершенны, они всё ещё могут быть чрезвычайно полезны -в поиске возможных уязвимостей, см. <a href="tools">страницу инструментов -для аудита</a>, которая содержит дополнительную информацию о некоторых доступных инструментах -аудита и том, как их использовать.</p> - -<p>Неплохо также почитать документацию самого пакета, а -не только проверять сам код, а также попытаться установить пакет и -попробовать использовать его.</p> - -<p>Это даст вам возможность подумать о том, как сломать программу во время - её обычной работы.</p> - -<h2>Сообщение о проблемах</h2> - -<p>Если вы обнаружили проблему в пакете, который вы -проверяете, то вам следует сообщить о ней. При сообщении об ошибке, связанной с -безопасностью, попытайтесь также предоставить заплату, чтобы разработчики могли исправить ошибку -своевременно. Нет необходимости предоставлять пример атаки -(часто называется <em>брешь</em> или <em>доказательство концепта</em>), поскольку -заплата будет говорить сама за себя, обычно лучше потратить время -на предоставление соответствующей заплаты, чем демонстрировать успешную атаку, -использующую найденную ошибку.</p> - -<p>Ниже приведён список рекомендованных шагов, которые рекомендуется предпринять, если вы -обнаружили ошибку безопасности в Debian:</p> - -<ol> - -<li>Попытайтесь подготовить заплату для ошибки или получить достаточную -информацию, чтобы остальные могли определить, что ошибка существует. В идеале каждое -сообщение об ошибке должно содержать исправление проблемы, которая была обнаружена, -исправление должно быть протестировано, а закрытие проблемы подтверждено. - -<p>Если у вас нет исправления ошибки, то чем больше подробностей вы можете сообщить об -этой проблеме, тем лучше будут относительная важность проблемы и любые её -решения.</p></li> - -<li>Сначала проверьте, имеет ли место эта ошибка в стабильном выпуске -Debian и может ли она иметь место в других дистрибутивах или в версии, -предоставляемой сопровождающими основной ветки разработки.</li> - -<li>Основываясь на этой информации, сообщите о проблеме: - -<ul> - -<li>Предоставьте анализ и заплату сопровождающему основной ветки разработки на его -контактную электронную почту по вопросам безопасности.</li> - -<li>Команде безопасности Debian, если ошибка имеет место в выпущенной -версии Debian. Команда безопасности Debian обычно назначает <a -href="$(HOME)/security/cve-compatibility">имя CVE</a> такой -уязвимости. Команда безопасности будет координировать при необходимости работу с -другими дистрибутивами Linux и свяжется с сопровождающим пакета от вашего -имени. Вы, тем не менее, также можете выслать копию почтового сообщения сопровождающему -пакета. Делайте это только в том случае, если имеет место уязвимости низкого риска (см. -ниже).</li> - -<li>Если ошибка в выпущенной версии Debian отсутствует, и приложение -может присутствовать в других дистрибутивах или операционных системах, -вышлите сообщение в <a -href="http://oss-security.openwall.org/wiki/mailing-lists/oss-security">oss-security</a> -(публичный список рассылки, используемый для сообщения и обсуждения ошибок безопасности, которые -были раскрыты публично). Вам не нужно делать этого, если вы уже -отправили сообщение об ошибке команде безопасности Debian, поскольку они -перешлют его в этот список.</li> - -<li>Если ошибка <strong>не</strong> имеет места в какой-либо выпущенной версии Debian, -а вы абсолютно уверены, что приложение <strong>не</strong> включено -в какой-либо другой дистрибутив или операционную систему, то сообщите об этой ошибке в -систему отслеживания ошибок.</li> - -</ul></li> - -<li>Когда уязвимость становиться публичной (т.е., когда команда безопасности Debian -или другой поставщик выпустил рекомендацию по безопасности), сообщение об ошибке со всей релевантной -информацией должно быть сообщено в систему отслеживания ошибок Debian, -чтобы отслеживать проблемы безопасности в невыпущенных версиях Debian -(т.е., <em>sid</em> или <em>testing</em>). Обычно это делается -командой безопасности самостоятельно; если вы обнаружите, что они не сделали этого, или если вы -не сообщали об этой ошибке команде безопасности, то вы можете сами -сообщить об ошибке в систему отслеживания ошибок. Убедитесь, что вы помечаете ошибку соответствующими тегами (используйте -тег <em>security</em>) и что вы устанавливаете соответствующий приоритет (обычно -<em>grave</em> или выше). Также убедитесь, что заголовок сообщения об ошибке содержит -соответствующее <a href="$(HOME)/security/cve-compatibility">имя CVE</a>, -если таковое было назначено. Это позволяет отслеживать ошибки -безопасности так, что они исправляются и в выпущенной, и в невыпущенной версиях -Debian.</li> - -<li>Если вы хотите, то как только проблема станет публичной, вы можете переслать эту информацию -в публичный полностью открытый список рассылки, напр. в -<a href="https://lists.grok.org.uk/mailman/listinfo/full-disclosure">full-disclosure</a> -или -<a href="http://www.securityfocus.com/archive/1">Bugtraq</a>.</li> - -</ol> - -<p>Заметьте, что эти шаги могут зависеть от того, какой риск связан с -обнаруженной уязвимостью. Если вам нужно оценить риск, вы можете использовать следующие критерии:</p> - -<ul> -<li>Является ли уязвимость удалённой или локальной.</li> -<li>Последствия использования уязвимости.</li> -<li>Распространённость ПО, подверженного уязвимости.</li> -</ul> - -<p>Следует предпринимать разные шаги для, например, сообщения о локальной -атаке символических ссылок, которая может использоваться только авторизованными пользователями и лишь -даёт возможность повредить систему, и для сообщения об удалённом переполнении буфера, -которое предоставляет административные права и имеет место в -широко используемом ПО.</p> - -<p>В большинстве случаев, поскольку большинство ошибок, как правило, не следует раскрывать -до того момента как они будут исправлены, <em>не</em> сообщайте о них -с помощью стандартной <a href="https://bugs.debian.org/">системы отслеживания ошибок -Debian</a>, лучше сначала сообщите о проблеме <a -href="$(HOME)/security/">команде безопасности</a>, которая займётся -выпуском обновлённого пакета и, когда ошибка будет исправлена, сообщит о ней -в систему отслеживания ошибок.</p> - - diff --git a/russian/security/audit/examples/Makefile b/russian/security/audit/examples/Makefile deleted file mode 100644 index 10484184c17..00000000000 --- a/russian/security/audit/examples/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/russian,webwml/english,$(CURDIR))/Makefile diff --git a/russian/security/audit/examples/RATS.wml b/russian/security/audit/examples/RATS.wml deleted file mode 100644 index 54b1f83e643..00000000000 --- a/russian/security/audit/examples/RATS.wml +++ /dev/null @@ -1,112 +0,0 @@ -#use wml::debian::template title="Пример автоматического аудита: RATS" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Lev Lamberov" - -<p><a href="https://packages.debian.org/rats">RATS</a> — сканер общего назначения для обнаружения потенциальных проблем безопасности в исходном коде (поддерживается несколько языков программирования).</p> - -<h2>Запуск RATS</h2> -<p>Запуск RATS довольно прост. Следует вызвать команду rats с указанием каталога, который нужно проверить. Каждый файл с исходным кодом, который будет обнаружен в этом каталоге, будет проверен. RATS понимает несколько языков программирования: C, Perl, PHP и Python; и каждый файл на одном из этих языков программирования будет считаться кандидатом для проверки.</p> -<p>Имеются несколько параметров, которые могут быть переданы в дополнение к имени каталога; они описаны -справочной странице.</p> -<p>Наиболее полезными параметрами являются те, которые изменяют вывод; среди них следующие:</p> -<ul> -<li>--warning <уровень> (Установить уровень утечек, которые будут выведены в результате работы программы) -<ul> -<li>1 включает лишь высокую строгость и строгость по умолчанию.</li> -<li>2 включает среднюю строгость (по умолчанию).</li> -<li>3 включает уязвимости низкой строгости.</li> -</ul></li> -<li>--xml (Вывод в XML)</li> -<li>--html (Вывод в HTML)</li> -</ul> -<p>Допустим, у нас имеется <a href="test.c.html">тестовый файл</a>, расположенный в текущем каталоге, в этом каталоге больше нет никаких файлов с исходным кодом, мы можем вызвать сканер следующей командой:</p> -<pre> -rats --warning 1 --html . >output.html -</pre> -<p>Эта команда создаст HTML-файл, содержащий результаты сканирования, который может быть загружен браузером.</p> - -<h2>Результаты</h2> -<p>Запуск RATS с нашим <a href="test.c.html">примером</a> выдает следующий вывод:</p> -<hr /> -<div class="sampleblock"> -<h3>Severity: High</h3> -<p>Issue: fixed size global buffer</p> -<p> - Extra care should be taken to ensure that character arrays that are - allocated on the stack are used safely. They are prime targets for - buffer overflow attacks. -</p> -<p> -File: <b>test.c</b><br> -Lines: 10 11 12 -</p> - -<h3>Severity: High</h3> -<p>Issue: strcpy</p> -<p> - Check to be sure that argument 2 passed to this function call will not - copy more data than can be handled, resulting in a buffer overflow. - </p> -<p> -File: <b>test.c</b><br> -Lines: 18 -</p> - -<h3>Severity: High</h3> -<p>Issue: getenv</p> -<p>Environment variables are highly untrustable input. They may be of any length, and contain any data. Do not make any assumptions regarding content or length. If at all possible avoid using them, and if it is necessary, sanitize them and truncate them to a reasonable length. - </p> -<p> -File: <b>test.c</b><br> -Lines: 22 24 </p> - -<h3>Severity: High</h3> -<p>Issue: sprintf</p> -<p> - Check to be sure that the format string passed as argument 2 to this - function call does not come from an untrusted source that could have added - formatting characters that the code is not prepared to handle. - Additionally, the format string could contain `%s' without precision that - could result in a buffer overflow. -</p> -<p> -File: <b>test.c</b><br> -Lines: 24 </p> - -<h3>Severity: High</h3> -<p>Issue: popen</p> -<p> - Argument 1 to this function call should be checked to ensure that it does - not come from an untrusted source without first verifying that it contains - nothing dangerous. -</p> -<p> -File: <b>test.c</b><br> -Lines: 33 </p> - -<h3>Severity: High</h3> -<p> Issue: printf</p> -<p> - Check to be sure that the non-constant format string passed as argument 1 - to this function call does not come from an untrusted source that could - have added formatting characters that the code is not prepared to handle. -</p> -<p> -File: <b>test.c</b><br> -Lines: 42 </p> -<p> -Total lines analyzed: <b>49</b><br> -Total time <b>0.000288</b> seconds<br> -<b>170138</b> lines per second</p> -</div> -<hr /> -<p>Этот вывод очень велик, хотя сам по себе код очень короткий; это демонстрирует один из недостатков автоматического сканирования — большой размер вывода.</p> - -<h2>Анализ вывода</h2> -<p>Вывод, который был произведён, является по сути описанием функций, которые были обнаружены, номером строки, в которой была обнаружена утечка, и описанием проблемы. (Поскольку мы использовали параметр «--warning» для ограничения вывода только «высоким» уровнем функций, мы немного сократили вывод.)</p> -<p>Каждую из обнаруженных проблем следует изучить вручную на предмет того, имеется ли там что-то неправильное или это было ложное срабатывание (напр., функция, которая может быть использована неправильно, была использована правильно).</p> -<p>В нашем случае мы можем видеть, что были обнаружены все уязвимости в нашем коде, но это не совсем ясно, если только не просмотреть соответствующие строки кода с помощью редактора.</p> -<p>Одним из упущений этой программы является то, что она не указывает строки целиком (это позволяет сделать <a href="flawfinder">flawfinder</a>).</p> -<hr /> -<p><a href="..">Назад на страницу проекта по аудиту</a> | <a href="index">Назад на страницу примеров аудита</a></p> - diff --git a/russian/security/audit/examples/flawfinder.wml b/russian/security/audit/examples/flawfinder.wml deleted file mode 100644 index 632ef782772..00000000000 --- a/russian/security/audit/examples/flawfinder.wml +++ /dev/null @@ -1,82 +0,0 @@ -#use wml::debian::template title="Пример автоматического аудита: flawfinder" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Lev Lamberov" - -<p><a href="https://packages.debian.org/flawfinder">flawfinder</a> — сканер общего назначения для поиска потенциальных утечек в исходном коде на C и C++.</p> - - -<h2>Запуск flawfinder</h2> -<p>Запуск flawfinder довольно прост. Нужно вызвать flawfinder с именем каталога или файлами, которые следует проверить. Если передано имя каталога, то будут проверены все файлы с исходным кодом, которые будут найдены в этом каталоге.</p> -<p>Дополнительно к переданному программе списку файлов или каталогов имеется несколько параметров командной строки, которые используются для управления поведением программы.</p> -<p>Каждый из этих параметров описан в справочной странице, но следующие параметры особенно полезны и будут использоваться в нашем примере:</p> -<ul> -<li>--minlevel=X -<ul> -<li>Установить минимальный уровень риска в значение X, в выводе будут показаны соответствующие сообщения. Может иметь значение в пределах 1-5, 1 означает «низкий риск», а 5 — «высокий риск».</li> -</ul></li> -<li>--html -<ul> -<li>Отформатировать вывод как HTML, а не как простой текст</li> -</ul></li> -<li>--context -<ul> -<li> Показать контекст, т.е. строку, содержащую потенциальную утечку.</li> -</ul></li> -</ul> - -<p>Для вывода файла HTML, содержащего результат работы программы, в котором -отражены только функции с «высоким риском», можно использовать следующую команду:</p> -<pre> -flawfinder --html --context --minlevel=4 test.c > output.html -</pre> - -<h2>Результаты</h2> -<p>Запуск flawfinder с нашим <a href="test.c.html">примером</a> выдает следующий вывод:</p> - -<hr /> -<div class="sampleblock"> -<p> -Examining test.c <br> -<ul> -<li>test.c:18: <b> [4] </b> (buffer) <i> strcpy: - Does not check for buffer overflows when copying to destination. - Consider using strncpy or strlcpy (warning, strncpy is easily misused). </i> -<pre> - strcpy( dir, argv[ 1 ] ); -</pre> -<li>test.c:24: <b> [4] </b> (buffer) <i> sprintf: - Does not check for buffer overflows. Use snprintf or vsnprintf. </i> - -<pre> - sprintf( dir, "%s", getenv( "HOME" ) ); -</pre> -<li>test.c:33: <b> [4] </b> (shell) <i> popen: - This causes a new program to execute and is difficult to use safely. - try using a library call that implements the same functionality if - available. </i> -<pre> - fp = popen( cmd, "r" ); -</pre> -<li>test.c:42: <b> [4] </b> (format) <i> printf: - If format strings can be influenced by an attacker, they can be - exploited. Use a constant for the format specification. </i> - -<pre> - printf( buff ); -</pre> -</ul> -<p> -Number of hits = 4 -<br> -Number of Lines Analyzed = 48 in 0.53 seconds (1392 lines/second) -<br> -</div> -<hr /> - -<h2>Анализ вывода</h2> -<p>Как и вывод <a href="RATS">RATS</a>, этот отчёт о проверке очень прост для чтения. Он ясно показывает функции, которые являются потенциально опасными, а также описание проблемы.</p> -<p>Включение контекстной информации также очень полезно, поскольку сразу же обращает ваше внимание на соответствующие области кода, либо исключает другие сообщения как некорректные.</p> -<p>Анализ <a href="test.c">нашего примера</a> довольно умён в том смысле, что не предупреждает о <i>каждом</i> использовании проблемной <tt>strcpy</tt> функции — а лишь о тех использованиях, которые, как это предполагается, потенциально опасны.</p> -<p>Таким образом, программа сумела выделить все недостатки нашего кода без ложных срабатываний.</p> -<hr /> -<p><a href="..">Назад на страницу проекта по аудиту</a> | <a href="index">Назад на страницу примеров аудита</a></p> diff --git a/russian/security/audit/examples/index.wml b/russian/security/audit/examples/index.wml deleted file mode 100644 index efa956e61da..00000000000 --- a/russian/security/audit/examples/index.wml +++ /dev/null @@ -1,18 +0,0 @@ -#use wml::debian::template title="Примеры автоматического аудита" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="6097aaeb789f09a86133073acab93480df51405c" maintainer="Lev Lamberov" - -<p>Как указано на <a href="../tools">странице инструментов аудита</a>, существует несколько пакетов, доступных в архиве Debian, которые могут использоваться для автоматического аудита исходного кода.</p> - - -<h2>Примеры проведения аудита</h2> -<p>Каждая из следующих утилит протестирована на одном и том же куске <a href="test.c.html">кода, содержащего ошибки</a>. Это позволяет сравнить вывод этих утилит.</p> -<p>Код был проанализирован с помощью следующих трёх утилит:</p> -<ul> -<li><a href="flawfinder">flawfinder</a></li> -<li><a href="RATS">RATS</a></li> -<li><a href="pscan">pscan</a></li> -</ul> -<hr /> -<p><a href="..">Назад на страницу проекта по аудиту</a></p> - diff --git a/russian/security/audit/examples/pscan.wml b/russian/security/audit/examples/pscan.wml deleted file mode 100644 index caba7b56ce0..00000000000 --- a/russian/security/audit/examples/pscan.wml +++ /dev/null @@ -1,41 +0,0 @@ -#use wml::debian::template title="Пример автоматического аудита: pscan" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Lev Lamberov" - -<p><a href="https://packages.debian.org/pscan">pscan</a> — пакет, разработанный для аудита уязвимостей форматных строк в файлах с исходным кодом на C и C++.</p> -<p>Эта программа не является инструментом аудита общего назначения.</p> - -<h2>Запуск pscan</h2> -<p>Запуск pscan представляет собой вызов pscan с именем файла или файлов, которые следует проверить. Например:</p> -<pre> -pscan <a href="test.c.html">test.c</a> -</pre> -<p>Вывод будет отображён в консоли:</p> -<hr /> -<samp> -test.c:42 SECURITY: printf call should have "%s" as argument 0 -</samp> -<hr /> - -<h2>Вывод</h2> -<p>Вывод в этом случае легко понять. Было верно установлено, что - вызов <tt>printf</tt> не заключает свои аргументы в - кавычки.</p> -<p>Этот вывод также показывает, что мы должны (чтобы исправить исполнение) изменить этот код: -<pre> -printf( buff ); -</pre> -<p>На этот код:</p> -<pre> -printf( "%s", buff ); -</pre> -<p>Если этого не сделать, атакующий, контролирующий вывод <tt>ls</tt>, сможет атаковать программу, создав файл с именем «%s» или схожим.</p> -<p>Атаки форматных строк обсуждаются <a href="http://www.securityfocus.com/guest/3342">в этом введении от Security Focus</a>.</p> -<p><a href="http://www.dwheeler.com/secure-programs/">HOWTO по безопасному программированию для Linux и Unix</a> содержит информацию о том, как защититься от атак, обычно используемых для атаки функций с переменным количеством параметров, таких как:</p> -<ul> -<li>printf</li> -<li>fprintf</li> -<li>syslog</li> -</ul> -<hr /> -<p><a href="..">Назад на страницу Проекта по аудиту</a> | <a href="index">Назад на страницу примеров аудита</a></p> diff --git a/russian/security/audit/faq.wml b/russian/security/audit/faq.wml deleted file mode 100644 index 7976b165c12..00000000000 --- a/russian/security/audit/faq.wml +++ /dev/null @@ -1,150 +0,0 @@ -#use wml::debian::template title="ЧаВО по аудиту безопасности Debian" -#use wml::debian::toc -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" maintainer="Lev Lamberov" - -<p>Эта страница содержит ответы на некоторые общие вопросы, -которые могут возникнуть у посетителей, которые впервые слышат о проекте.</p> - -<toc-display> - -<toc-add-entry name="what">Что такое проект по аудиту безопасности -Debian?</toc-add-entry> - -<p>Проект по аудиту безопасности Debian является небольшим проектом внутри -Проекта Debian. Он создан для того, чтобы предупреждать проблемы -безопасности путём выполнения аудита исходного кода пакетов, доступных -пользователям Debian.</p> - -<p>Аудит сфокусирован на стабильном выпуске Debian, работа по -аудиту проводится в соответствии с <a href="packages">руководством -по приоритету пакетов для аудита</a>.</p> - -<toc-add-entry name="start">Когда начался проект по аудиту безопасности -Debian?</toc-add-entry> - -<p>Первая рекомендация по безопасности была выпущена в декабре 2002, со временем -за ней последовала ещё серия рекомендаций.</p> - -<p>Проект продолжал работать неофициально до мая 2004 года, когда Лидер Проекта -Debian, Мартин Михльмайер (Martin Michlmayr), придал ему -<q>официальный</q> статус.</p> - -<toc-add-entry name="advisories-from-audit">Какие рекомендации по -безопасности были сформулированы благодаря аудиту?</toc-add-entry> - -<p>В качестве части работы по аудиту было выпущено много -рекомендаций по безопасности; все рекомендации, выпущенные до того момента как наш проект -приобрел официальный статус, приведены на <a href="advisories">странице -рекомендаций аудита</a>.</p> - -<p>Надеемся, что в недалёком будущем рекомендации, выпускаемые проектом, -можно будет найти в отчётах о рекомендациях по безопасности Debian -и с помощью поиска по запросу <q>проект по аудиту безопасности -Debian</q>.</p> - -<toc-add-entry name="advisories">Вся ли работа по аудиту связана -с рекомендациями по безопасности?</toc-add-entry> - -<p>Вообще-то нет. Имеется множество проблем с безопасностью, которые -обнаруживаются благодаря аудиту и которые нельзя использовать напрямую (тем не менее, они -могут привести к аварийному завершению программы). Некоторые другие обнаруженные нами проблемы безопасности, которые могут -использоваться злоумышленниками, отсутствуют в официальном стабильном выпуске Debian, но -но были представлены в тестируемом или нестабильном выпусках. Отчёты о них отправляются -в систему отслеживания ошибок Debian (и в некоторых случаях напрямую авторам основной -ветки разработки). </p> - - -<toc-add-entry name="credit">Кто принял участие в этой работе?</toc-add-entry> - -<p>Стив Кэмп (Steve Kemp) начал проект по аудиту безопасности Debian, создав -изначальный процесс по аудиту, и тестировал его, находя множество уязвимостей.</p> - -<p>Ульф Хэрнхаммер (Ulf Härnhammar) рано присоединился к проекту (на его неофициальной стадии) и -нашёл несколько уязвимостей, которые впоследствии были исправлены, вслед за Ульфом присоединились -Сварай Бонтула (Swaraj Bontula) и Хавьер Фернандес-Сангуино ( and Javier Fernández-Sanguino), -которые также нашли несколько важных проблем безопасности.</p> - -<p><a href="http://www.dwheeler.com">Дэвид А. Уиллер (David A. Wheeler)</a> побудил Стива -Кэмпа вести проект на добровольной основе в качестве официального проекта Debian, что -стало возможно благодаря вмешательству Лидера Проекта Debian Мартина -Михльмайера. Дэвид также внёс много полезных предложений по поводу содержания -этих страниц, приняв участие в создании нескольких разделов.</p> - -<p><a href="$(HOME)/security">Команда безопасности -Debian</a> очень помогла в том, чтобы сделать аудит успешным, гарантируя, что -любые найденные уязвимости будут незамедлительно исправлены и -размещены.</p> - -<p>Следующие люди приняли участие в проекте, отправив хотя бы одну рекомендацию по безопасности -от лица проекта:</p> - -#include "$(ENGLISHDIR)/security/audit/data/credits.inc" - -<p>Мы всегда рады новым участникам!</p> - - -<toc-add-entry name="contribute">Как я могу принять участие?</toc-add-entry> - -<p>Если у вас есть время и необходимые навыки для аудита пакетов, то -просто сделайте это!</p> - -<p><a href="auditing">Обзор процесса аудита</a> даст вам представление -о том, как эта работа проводится; любые дополнительные вопросы вы можете -задать в -<a -href="https://lists.debian.org/debian-security/">списке рассылки -debian-security</a>.</p> - -# TODO - Old list, no longer available -# Ask Steve Kemp to provide archives and move them over to an official -# mailing list? -#<a -#href="http://shellcode.org/mailman/listinfo/debian-audit">debian-audit -#mailing list</a>.</p> - -<toc-add-entry name="mailinglist">Могу ли я обсудить конкретные пакеты в списке рассылки?</toc-add-entry> - -<p>Лучше, если вы не будете указывать имена пакетов, содержащих проблемы, которые -вы обнаружили, до того, как будет выпущена -<a href="$(HOME)/security/">DSA (рекомендация по безопасности Debian)</a>, поскольку это позволяет злоумышленникам -использовать эти проблемы до того, как они будет исправлены.</p> - -<p>Вместо этого список рассылки может использоваться для описания куска кода -и запроса мнений о том, является ли этот кусок проблемным, а также того, как -он может быть исправлен.</p> - -<toc-add-entry name="maintainer">Как я могу принять участие как -сопровождающий пакетов?</toc-add-entry> - -<p>Сопровождающие пакетов могут помочь гарантировать безопасность программного обеспечения, -пакеты с которым они создают, путём самостоятельного просмотра кода, либо можно -попросить помочь.</p> - -<p>См. обзор на странице <a href="maintainers">аудит для сопровождающих -пакетов</a>.</p> - -<toc-add-entry name="reporting">Как я сообщу об обнаруженной -проблеме?</toc-add-entry> - -<p>В<a href="$(HOME)/security/faq#discover">ЧаВО команды -безопасности</a> есть раздел описывающий этот процесс.</p> - -<toc-add-entry name="clean">Доступен ли список пакетов, аудит которых был проведён, и -они оказались в порядке?</toc-add-entry> - -<p>Нет, список пакетов, которые были проверены и в них не было обнаружено ошибок, -не приводится публично.</p> - -<p>Частично потому, что в таких пакетах всё ещё могут скрываться проблемы, -которые на были замечены, частично потому, что аудит проводится -несколькими людьми без особой координации этого процесса.</p> - -<toc-add-entry name="moreinfo">Где мне найти -больше информации?</toc-add-entry> - -<p>В настоящее время у нас нет списка рассылки, на который вы могли бы подписаться и -в котором могли бы задавать вопросы. В настоящее время используйте -<a -href="https://lists.debian.org/debian-security/">список рассылки -debian-security</a>.</p> - diff --git a/russian/security/audit/index.wml b/russian/security/audit/index.wml deleted file mode 100644 index 70ee92eb981..00000000000 --- a/russian/security/audit/index.wml +++ /dev/null @@ -1,51 +0,0 @@ -#use wml::debian::template title="Проект Debian Security Audit (по аудиту безопасности Debian)" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="57f73cd8cc7f0c94f280e3444c075d201e8d42a8" maintainer="Lev Lamberov" - -<p>Проект Debian Security Audit (по аудиту безопасности Debian) представляет собой проект, нацеленный -на проверку пакетов Debian на наличие проблем безопасности.</p> - -<p>За то короткое время, в течении которого данный проект работает, было сформулировано -несколько <a href="$(HOME)/security/">рекомендаций Debian по безопасности</a>, -что доказывает, что процесс аудита действительно работает для того, чтобы улучшить -безопасность Debian. Надеемся, в будущем работа проекта приведёт к -появлению новых рекомендаций.</p> - -<p>Занимая активную позицию в области аудита кода, мы можем гарантировать, -что Debian продолжает свою долгую историю дистрибутива, для которого очень важна -безопасность.</p> - - -<h2>Область аудита</h2> - -<p>Целью проекта является аудит как можно большего числа пакетов в -стабильном выпуске Debian на предмет наличия потенциальных дефектов. Важные -пакеты, содержащиеся в нестабильном выпуске, так же могут -проверяться на наличие дефектов, что прежде всего уменьшает вероятность включения небезопасных пакетов -в стабильный выпуск.</p> - -<p>Из-за размера текущего выпуска Debian, небольшой команде -не возможно проверить все пакеты, поэтому -существует система приоритета пакетов, для которых безопасность более -важна.</p> - -<p><a href="packages">Руководство по приоритету пакетов</a> -является попыткой гарантировать, что затрачиваемое время посвящено -важным пакетам, а <a href="tools">общее представление об инструментах аудита</a> показывает, как -могут использоваться для проведения аудита некоторые доступные -сканеры исходного кода.</p> - -<h2>Выпущенные ранее рекомендации</h2> - -<p>Для каждого пакета, который оказывается подвержен проблеме -безопасности, командой безопасности Debian будет выпущена -<a href="$(HOME)/security/">DSA (рекомендация по безопасности)</a>.</p> - -<p>Для справки имеется <a href="advisories">список предыдущих -рекомендаций</a>, которые были получены в ходе процесса аудита.</p> - -<h2>Дополнительная информация</h2> - -<p>Дополнительная информация о проекте может быть найдена на странице -<a href="faq">ЧаВО по аудиту безопасности</a>.</p> - diff --git a/russian/security/audit/maintainers.wml b/russian/security/audit/maintainers.wml deleted file mode 100644 index 70f11ba9a18..00000000000 --- a/russian/security/audit/maintainers.wml +++ /dev/null @@ -1,54 +0,0 @@ -#use wml::debian::template title="Аудит для сопровождающих пакетов" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="534d1b782cfb92f46dc41fd064f779fffc329b12" maintainer="Lev Lamberov" - -<p>Если вы являетесь сопровождающим пакета, который включён в -архив Debian, пожалуйста, по возможности проверяйте код самостоятельно.</p> - -<p>Доступность <a href="tools">инструментов аудита исходного кода</a> может существенно облегчить этот -процесс, даже если у вас нет времени провести -аудит самостоятельно, вы можете найти потенциально проблематичные места -в исходном коде.</p> - -<p>Если вам нужна помощь, свяжитесь либо с -<a href="$(HOME)/security/#contact">командой безопасности Debian</a>, либо напишите в (публичный) -<a -href="https://lists.debian.org/debian-security/">список рассылки -debian-security</a> для получения поддержки по поводу того, как производить аудит исходного кода.</p> - -# consider joining the <a -#href="http://shellcode.org/mailman/listinfo/debian-audit">debian-audit -#mailing list</a> and asking for a volunteer to look over your -#package.</p> - -<h2>Исходный код для сопровождающих</h2> - -<p>Сопровождающим, которые желают проверить исходный код, могут показаться интересными -представленная в рамках Debconf6 статья <a -href="https://people.debian.org/~jfs/debconf6/security/weeding_security_bugs.pdf">Выпалывание -ошибок безопасности в Debian</a> (<a href="https://people.debian.org/~jfs/debconf6/security/slides/weeding_security_bugs.slides.pdf">слайды</a>) или заметка <a -href="https://people.debian.org/~jfs/debconf6/security/common-problems.txt">Краткий, -практический обзор о том, как находить некоторые общие ошибки в программах, написанных -на различных языках</a> (оба документа написаны -членами проекта по аудиту). -</p> - -<p>Статья <q>Выпалывание ошибок безопасности в Debian</q> была представлена на -Debconf6, прошедшей в Мехико, и была частью семинара. Сопровождающим, не знакомым с аудитом, -могут оказаться полезными <a href="https://people.debian.org/~jfs/debconf6/security/samples/">пример -кода</a> и <a -href="http://meetings-archive.debian.net/pub/debian-meetings/2006/debconf6/">видеозаписи -семинара</a>.</p> - -<h2>Новые выпуски</h2> - -<p>Будучи ответственным сопровождающим, вы должны следить -за новыми выпусками основной ветки разработки вашего пакета. Если журнал изменений -содержит упоминания проблем безопасности, вам следует попытаться выяснить, является -ли уязвимой версия кода -в стабильном выпуске.</p> - -<p>Если уязвимая версия доступна в стабильном -выпуске, свяжитесь с командой безопасности как это описано в <a -href="$(HOME)/security/faq">ЧаВО команды безопасности</a>.</p> - diff --git a/russian/security/audit/packages.wml b/russian/security/audit/packages.wml deleted file mode 100644 index c34297c9f4d..00000000000 --- a/russian/security/audit/packages.wml +++ /dev/null @@ -1,106 +0,0 @@ -#use wml::debian::template title="Руководство по приоритету пакетов для аудита" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="8536cf419447d00f034a8e3ad9efa6a243462fe7" maintainer="Lev Lamberov" - -<p>При выполнении аудита выпуска Debian одной из -наиважнейших проблем является выбор того, какие пакеты следует проверить.</p> - -<p>В идеале, все пакеты должны быть проверены, но из-за размера -архива требуется способ расстановки рабочих приоритетов.</p> - -<p>В качестве простого набора правил для определения тех пакетов, которые желательно -исследовать в первую очередь, может использоваться следующий список:</p> - -<ol> -<li>Всякий двоичный файл, с установленным setuid или setgid.</li> - -<li>Всё, что предоставляет сервис через сети.</li> - -<li>Все доступные удалённо CGI/PHP сценарии.</li> - -<li>Всё, что содержит задачу cron или другой автоматизированный сценарий, -выполняемый с правами root.</li> - -</ol> - -<p>По большей части популярные пакеты должны получать более высокий приоритет, поскольку любые -проблемы в них повлияют на большее число пользователей.</p> - -<p><a href="https://popcon.debian.org/">Debian Popularity -Contest</a> продолжает сбор информации, показывающий то, какие пакеты -более популярны среди добровольных участников этого исследования.</p> - -<p>В частности, обратите внимание на -<a href="https://popcon.debian.org/by_vote">пакеты, отсортированные по голосам</a>. -Список <q>по голосам</q> ранжирует пакеты по тому, как часто они используются -людьми, участвующими в исследовании.</p> - -<p>Если пакет является важным с точки зрения безопасности, особенно если он отвечает -одному из приведённых выше критериев, и он популярен (согласно исследованию на подобие -уже приведённого), то он <em>определённо</em> является кандидатом для проверки.</p> - - -<h2>Двоичные файлы с <tt>setuid</tt> и <tt>setgid</tt></h2> - -<p>Двоичные файлы с <tt>setuid</tt> и <tt>setgid</tt> являются традиционными -целями аудита безопасности, поскольку компрометирование уязвимого двоичного файла, -с выставленными правами setuid или setgid, может привести к тому, что локальный пользователь получит доступ к -правам, которыми он не должен обладать.</p> - -<p>Для облегчения поиска существует список всех двоичных файлов с setuid и setgid, -содержащихся в текущем стабильном выпуске. -</p> - -<ul> - -<li><a href="https://lintian.debian.org/tags/setuid-binary.html">Отчёт Lintian -о двоичных файлах с Setuid в Debian</a></li> - -<li><a href="https://lintian.debian.org/tags/setgid-binary.html">Отчёт Lintian -о двоичных файлах с Setgid в Debian</a></li> - -</ul> - -# TODO (jfs): the above does not provide the same information as was available at -# http://shellcode.org/Setuid/ -# ask Steve Kemp to move this feature to a Debian-administered machine? -# (or to the Alioth project) -# - -<p>При сортировке этих двоичных файлов для проверки важно помнить, что -некоторые из них более чувствительны к проблемам безопасности, чем другие. -Двоичные файлы с setuid(root) должны проверяться раньше, чем двоичные файлы с setgid(games) или, -к примеру, с setuid(bugs).</p> - - -<h2>Сетевые серверы</h2> - -<p>Сетевые серверы представляют собой другой очевидный объект внимания во -время выполнения аудита безопасности, поскольку проблема в -них может привести к тому, что атакующие смогут компрометировать машины удалённо.</p> - -<p>Удалённые риски обычно намного более существенны, чем локальные -риски.</p> - -<h2>Online сценарии</h2> - -<p>Online сценарии, в особенности CGI-сценарии, в действительности находятся в -том же классе сетевых серверов — хотя ваш веб-сервер сам по себе может быть -безопасен, сценарии, которые выполняются на нём, так же важны.</p> - -<p>Ошибка в сценарии, который доступен по сети, является такой же -серьезной ошибкой в сервере, прослушивающем соединения — оба равным образом могут -позволить компрометировать вашу машину.</p> - -<h2>Задачи cron и системные службы</h2> - -<p>Хотя автоматических сценариев, задач cron и проч. не так много, стоит -проверять те, что включены в содержимое -пакетов.</p> - -<p>Множество вспомогательных программ выполняются по умолчанию с правами root для очистки -файлов журналов и проч.</p> - -<p>Успешное использование symlink-атаки может привести к тому, что локальная -машина будет компрометирована.</p> - diff --git a/russian/security/audit/tools.wml b/russian/security/audit/tools.wml deleted file mode 100644 index ca608ed867e..00000000000 --- a/russian/security/audit/tools.wml +++ /dev/null @@ -1,148 +0,0 @@ -#use wml::debian::template title="Инструменты аудита безопасности" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Lev Lamberov" - -<p>В архиве Debian доступны несколько пакетов, которые -разработаны облегчения проведения аудита исходного кода. Вот они:</p> - -<ul> -<li><a href="https://packages.debian.org/flawfinder">Flawfinder</a> -<ul> -<li><a href="examples/flawfinder">Пример использования flawfinder</a></li> -</ul></li> -<li><a href="http://archive.debian.net/woody/its4">ITS4</a> -<ul> -<li>Пример использования ITS4 отсутствует, поскольку пакет был удалён из нестабильного выпуска.</li> -</ul></li> -<li><a href="https://packages.debian.org/rats">RATS</a> -<ul> -<li><a href="examples/RATS">Пример использования RATS</a></li> -</ul></li> -<li><a href="https://packages.debian.org/pscan">pscan</a> -<ul> -<li><a href="examples/pscan">Пример использования pscan</a></li> -</ul></li> -</ul> - -<p>Заметьте также, что существуют и другие инструменты, созданные специально для поиска определённого набора -уязвимостей в безопасности, для которых пока может быть и не созданы пакеты Debian, но которые могут -быть полезны тому, кто проводит аудит. Среди них:</p> - -<ul> -<li>Инструменты для поиска ошибок XSS: -<ul> -<li><a href="http://freecode.com/projects/xsslint/">Xsslint</a></li> -<li><a href="http://www.devitry.com/screamingCSS.html">ScreamingCSS</a></li> -</ul></li> -<li>Инструменты для тестирования браузеров: -<ul> -<li><a href="http://www.securityfocus.com/archive/1/378632">MangleMe</a></li> -</ul></li> -</ul> - -<p>Ни один инструмент не является совершенным; инструменты могут использоваться только в качестве руководств -для дальнейшего исследования, но учитывая то, как они просты в использовании, полезно -выделить на них время.</p> - -<p>Каждый из этих инструментов имеет различные сильные и слабые стороны, поэтому рекомендуется -использовать более одного инструмента.</p> - - -<h2>Flawfinder</h2> - -<p>flawfinder — это инструмент, написанный на Python, разработанный для анализа исходного -кода на C и C++ в поиске потенциальных проблем с безопасностью.</p> - -<p>Когда в качестве параметра указывается каталог, содержащий исходный код, этот инструмент выведет -отчёт о потенциальных проблемах, которые были обнаружены; отчёт будет отсортирован по риску -(где <i>риск</i> — это целое число от 1 до 5). Для отключения незначительных рисков можно -передать программе параметр, тогда программа не будет сообщать об ошибках, уровень риска которых -ниже определённого уровня. По умолчанию вывод будет иметь вид обычного -текста, но можно вывести отчёт и в формате HTML.</p> - -<p>Программа работает, сканируя код в поисках использования -функций, которые содержатся в её базе данных функций, -которые обычно используются неправильно.</p> - -<p>Для облегчения чтения отчёта можно указать параметр, использование которого приведёт к тому, что -отчёт будет содержать строку, содержащую используемую функцию; -это может быть полезно для немедленного обнаружения проблемы или для её -исключения.</p> - -<p>Вы можете посмотреть пример использования flawfinder, и его вывод -в <a href="examples/">разделе примеров аудита</a>.</p> - -<h2>ITS4</h2> - -<p>ITS4 — инструмент, содержащийся в разделе non-free архива Debian; -он доступен только для выпуска <q>woody</q>.</p> - -<p>ITS4 может использоваться для сканирования кода на C и на C++ в поисках потенциальных дыр -в безопасности подобно flawfinder.</p> - -<p>На результат программы можно влиять для исключения случаев, -где вызовы опасных функций производятся осторожно.</p> - - -<h2>RATS</h2> - -<p>RATS — инструмент, похожий на приведённые выше, с тем лишь исключением, -что он поддерживает более широкий спектр языков. -В настоящее время в нём имеется поддержка C, C++, Perl, PHP и Python.</p> - -<p>Этот инструмент использует простой файл XML для хранения информации об уязвимостях, -что делает его наиболее простым для настройки из доступных инструментов. -Новые функции могут быть легко добавлены для поддерживаемых -языков.</p> - -<p>Вы можете посмотреть пример использования RATS и его вывод -в <a href="examples/">разделе примеров аудита</a>.</p> - -<h2>pscan</h2> - -<p>pscan отличается от уже приведённых инструментов, -поскольку он вообще не является сканером общего назначения. Эта программа, -предназначена для обнаружения ошибок в форматных строках.</p> - -<p>Этот инструмент пытается найти потенциальные проблемы использования -таких вариативных функций в исходном коде на C и C++, как -<tt>printf</tt>, <tt>fprintf</tt> и <tt>syslog</tt>.</p> - -<p>Ошибки форматных строк легко обнаружить и исправить, несмотря -на то, что эти ошибки являются наиболее свежим классом атаки ПО, большинство -из них вероятно уже найдено и исправлено.</p> - -<p>Вы можете посмотреть пример использования pscan, и его вывод -в <a href="examples/">разделе примеров аудита</a>.</p> - - -<h2>Понимание вывода сканера</h2> - -<p>Каждый инструмент общего сканирования в качестве результатов работы выдаст вывод, -описывающий обнаруженную проблему и возможно содержащий совет о том, как исправить -код.</p> - -<p>Например, следующий вывод RATS -описывает опасность <tt>getenv</tt>:</p> - -<p>"Environment variables are highly untrustable input. They may -be of any length, and contain any data. Do not make any assumptions -regarding content or length. If at all possible avoid using them, and -if it is necessary, sanitize them and truncate them to a reasonable -length."</p> - -<p>Если вам нужны дальнейшие советы о том, как исправить обнаруженную дыру, -вам следует изучить книгу о безопасном программировании, напр. -<a href="http://www.dwheeler.com/secure-programs/">HOWTO по -безопасному программированию для Linux и Unix</a> Дэвида А. Уилера (David A. Wheeler).</p> - -<p>(Помните, что при отправке отчёта о проблеме безопасности приветстуется -заплата, закрывающая дыру)</p> - -<p>Обсуждение закрытия очень трудного куска -кода может также проводиться в -<a href="https://lists.debian.org/debian-security/">списке рассылки -debian-security</a>, но поскольку это публичный список рассылки с публичным архивом, -пишите о проблемах в коде так, чтобы не было понятно, о какой -программе идёт речь.</p> - diff --git a/spanish/security/audit/2002/Makefile b/spanish/security/audit/2002/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2002/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2002/index.wml b/spanish/security/audit/2002/index.wml deleted file mode 100644 index 4a3cb516511..00000000000 --- a/spanish/security/audit/2002/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2002" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2002</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2003/Makefile b/spanish/security/audit/2003/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2003/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2003/index.wml b/spanish/security/audit/2003/index.wml deleted file mode 100644 index e3b194647a8..00000000000 --- a/spanish/security/audit/2003/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2003" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2003</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2003.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2004/Makefile b/spanish/security/audit/2004/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2004/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2004/index.wml b/spanish/security/audit/2004/index.wml deleted file mode 100644 index c1567632f54..00000000000 --- a/spanish/security/audit/2004/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2004" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2004</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2004.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2005/Makefile b/spanish/security/audit/2005/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2005/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2005/index.wml b/spanish/security/audit/2005/index.wml deleted file mode 100644 index d3014e44090..00000000000 --- a/spanish/security/audit/2005/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2005" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2005</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2005.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2006/Makefile b/spanish/security/audit/2006/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2006/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2006/index.wml b/spanish/security/audit/2006/index.wml deleted file mode 100644 index 7c2e0352bf1..00000000000 --- a/spanish/security/audit/2006/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2006" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2006</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2006.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2007/Makefile b/spanish/security/audit/2007/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2007/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2007/index.wml b/spanish/security/audit/2007/index.wml deleted file mode 100644 index 4e0f91d0132..00000000000 --- a/spanish/security/audit/2007/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2007" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2007</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2007.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2008/Makefile b/spanish/security/audit/2008/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2008/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2008/index.wml b/spanish/security/audit/2008/index.wml deleted file mode 100644 index a6e63e4b764..00000000000 --- a/spanish/security/audit/2008/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2008" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2008</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2008.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2009/Makefile b/spanish/security/audit/2009/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2009/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2009/index.wml b/spanish/security/audit/2009/index.wml deleted file mode 100644 index 271c214d428..00000000000 --- a/spanish/security/audit/2009/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2009" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2009</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2011/Makefile b/spanish/security/audit/2011/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2011/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2011/index.wml b/spanish/security/audit/2011/index.wml deleted file mode 100644 index dd80d502692..00000000000 --- a/spanish/security/audit/2011/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2011" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="458c03fd57fc50534f97eccb28081fcc2c9cd180" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2011</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/Makefile b/spanish/security/audit/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/advisories.wml b/spanish/security/audit/advisories.wml deleted file mode 100644 index c7e77a29ce1..00000000000 --- a/spanish/security/audit/advisories.wml +++ /dev/null @@ -1,24 +0,0 @@ -#use wml::debian::template title="Avisos de la auditoría de seguridad" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0ad4d180b114f128c3363384351694a7bbe6a069" maintainer="juanma" - -<p>Aquí puede ver los últimos avisos que se han publicado, como resultado directo de este proyecto de auditoría:</p> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>También están disponibles los registros de los avisos que se han publicado en años anteriores:</p> - -<ul> -<li><a href="/security/audit/2011">2011</a></li> -<li><a href="/security/audit/2009">2009</a></li> -<li><a href="/security/audit/2008">2008</a></li> -<li><a href="/security/audit/2007">2007</a></li> -<li><a href="/security/audit/2006">2006</a></li> -<li><a href="/security/audit/2005">2005</a></li> -<li><a href="/security/audit/2004">2004</a></li> -<li><a href="/security/audit/2003">2003</a></li> -<li><a href="/security/audit/2002">2002</a></li> -</ul> - - diff --git a/spanish/security/audit/auditing.wml b/spanish/security/audit/auditing.wml deleted file mode 100644 index 810e0f19a28..00000000000 --- a/spanish/security/audit/auditing.wml +++ /dev/null @@ -1,170 +0,0 @@ -#use wml::debian::template title="Realizar una auditoría" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0c51b8ff34c17868bd2f86ac91fef7abc581e1e9" maintainer="juanma" - -<p>Esta página le proporciona un vistazo somero de los pasos que son necesarios - para afrontar la auditoría de un paquete.</p> - -<p>El primer paso es elegir un paquete que realmente necesite examinarse. - Debería elegir uno cuya seguridad sea crítica.</p> - -<p>Diríjase a <a href="$(HOME)/security/audit/packages">la lista de - paquetes cuya auditoría es prioritaria</a> para encontrar - sugerencias que le ayudarán a tomar su decisión.</p> - -<p>Una cosa que debería tener clara es que <em>no</em> pretendemos que el - paquete se audite una sola vez. Es bueno que muchas personas elijan - examinar el mismo paquete, porque se demostrará que mucha gente piensa - que ese paquete es sensible a cuestiones de seguridad.</p> - -<p>Permitiendo una selección de paquetes esencialmente aleatoria, simplificamos - la coordinación y eliminamos el problema de <q>¿cómo puede uno fiarse de que la - persona X ha hecho un buen trabajo?</q> (No lo necesitamos porque asumimos que - tarde o temprano alguien decidirá examinar el mismo programa).</p> - -<h2>Comenzar la auditoría</h2> - -<p>Tras tomar la decisión de los paquetes, tiene que comenzar la verdadera - auditoría.</p> - -<p>Si no está seguro del tipo de problemas que tiene que buscar, comience - leyendo un libro sobre desarrollo de software seguro.</p> - -<p><a href="http://www.dwheeler.com/secure-programs">Secure Programming for - Linux and Unix HOWTO</a> (n.t. en inglés) tiene información de calidad que - puede resultarle muy útil. - <a href="http://www.securecoding.org/">Secure Coding: Principles & - Practices</a>, de Mark G. Graff y Kenneth R. van Wyk (n.t. en inglés) - también es un excelente libro.</p> - -<p>Aunque las herramientas son imperfectas, pueden ser extremadamente útiles para - encontrar posibles vulnerabilidades. Diríjase a <a href="tools">la página de - herramientas de auditoría</a> para encontrar más información acerca de algunas - de las herramientas de auditoría disponibles y de cómo se usan.</p> - -<p>Además de mirar el propio código, es buena idea leer la propia documentación - del paquete, e intentar instalarlo y usarlo.</p> - -<p>Esto le debería permitir urdir maneras de subvertir el comportamiento típico - del programa.</p> - -<h2>Informar de problemas</h2> - -<p>Si descubre un problema en el paquete que está examinando, debería - informar de ello. Cuando informe de un fallo de seguridad, intente - proporcionar también un parche, para que los desarrolladores puedan - repararlo cuanto antes. No es necesario facilitar una muestra de - ataque (lo que se suele llamar un <em>exploit</em> o una <em>prueba de - concepto</em>), ya que el parche debería hablar por sí msimo. Suele - preferirse la inversión de tiempo en proporcionar un parche adecuado - que en facilitar un ataque con éxito que saque provecho del error.</p> - -<p>Aquí tiene una lista con los pasos recomendados para cuando - encuentre un error de seguridad en Debian:</p> - -<ol> - -<li>Intente producir un parche para el error u obtener información - suficiente para que otros puedan determinar la existencia del fallo. - De forma ideal, cada fallo debería contener una solución para el - problema que se ha descubierto, y que se haya probado y verificado - que ciertamente corrige el problema. - -<p>Si no tiene una solución para el problema, lo mejor será que dé los máximos - detalles sobre el ámbito del problema, la severidad de la incidencia y la - información adicional que haya recopilado sobre ella durante su - análisis.</p></li> - -<li>En primer lugar, compruebe si el error de seguridad está presente - en la versión estable de Debian o si puede estar presente en otras - distribuciones o en la versión original.</li> - -<li>Según los resultados de la comprobación anterior, informe del - incidente: - -<ul> - -<li>Al desarrollador original, a través del correo electrónico de - contacto para seguridad. Proporcione el análisis y el parche.</li> - -<li>Al equipo de seguridad de Debian, si el error está presente - la versión publicada de Debian. El equipo de seguridad de Debian le - suele asignar un <a - href="$(HOME)/security/cve-compatibility">nombre CVE</a> a la - vulnerabilidad. El equipo de seguridad se coordinará con otras - distribuciones de Linux si fuese necesario y se pondrá en contacto - con el responsable del paquete en su nombre. Una cosa que podría - hacer usted es mandar también una copia del correo al responsable - del paquete. De todas formas, hágalo sólo cuando se trate de - vulnerabilidades de bajo riesgo (tiene más información abajo).</li> - -<li>Si el error no está presente en la versión publicada de Debian - y la aplicación puede estar presente en otras distribuciones o - sistemas operativos, escriba a <a - href="http://oss-security.openwall.org/wiki/mailing-lists/oss-security">oss-security</a> - (una lista de correo pública usada para informar y debatir sobre errores de seguridad -que han sido previamente divulgados). No - tiene que hacer esto si ya ha enviado el fallo al equipo de seguridad - de Debian, puesto que este equipo también seguirá los pasos de esta - lista.</li> - -<li>Si el error <strong>no</strong> está presente en ninguna de las - versiones publicadas por Debian y está absolutamente seguro de que la - aplicación <strong>no</strong> forma parte de ninguna otra distribución - ni sistema operativo, informe de ello a través del sistema de - seguimiento de fallos.</li> - -</ul></li> - -<li>Una vez que la vulnerabilidad sea pública (por ejemplo, cuando el - equipo de seguridad de Debian o cualquier otro proveedor haya emitido - un aviso) se rellenará un informe de fallo con toda la información - relevante en el sistema de seguimiento de fallos de Debian para seguir - la pista de las incidencias de seguridad en las versiones no publicadas - de Debian (esto es, <em>sid</em> o <em>en pruebas</em>). Esto lo - suele hacer el propio equipo de seguridad. De todas formas, si viera - que no se ha producido este paso o si no va a avisar de esto al equipo - de seguridad, puede informar usted mismo. Asegúrese de que la etiqueta - del fallo es la adecuada (use la etiqueta <em>seguridad</em>) y de que - ha definido la prioridad apropiada (normalmente, <em>grave</em> o - superior). Asegúrese también de que el título del error incluye el <a - href="$(HOME)/security/cve-compatibility">nombre CVE</a> adecuado, si - es que se le ha asignado. De esta forma se le puede seguir la pista a - los errores de seguridad que se han corregido tanto en las versiones - publicadas como en las no publicadas de Debian.</li> - -<li>Si lo desea, una vez que sea pública la incidencia, puede reenviar - esta información a listas de correo públicas de divulgación, como - <a href="https://lists.grok.org.uk/mailman/listinfo/full-disclosure">full-disclosure</a> - o - <a href="http://www.securityfocus.com/archive/1">Bugtraq</a>.</li> - -</ol> - -<p>Tenga en cuenta que estos pasos pueden variar según el riesgo - asociado con la vulnerabilidad que se encuentre. Tiene que valorar - el riesgo según:</p> - -<ul> -<li>Se trate de una vulnerabilidad remota o local.</li> -<li>Las consecuencias del provecho que se pueda sacar de la - vulnerabilidad.</li> -<li>La popularidad y difusión del software que se vea afectado por la - vulnerabilidad.</li> -</ul> - -<p>Se deben dar distintos pasos, por ejemplo, para informar de un - ataque local de enlaces simbólicos que sólo puedan aplicar los - usuarios autenticados y que sólo provea de una forma de dañar el - sistema que para informar de un desbordamiento remoto de buffer que - proporcione privilegios administrativos y esté presente en un - software popular y de gran difusión.</p> - -<p>En la mayor parte de los casos, los errores de seguridad no se -deberían revelar hasta que se hayan corregido. Por tanto, <i>no</i> -informe de ellos por el <a href="https://bugs.debian.org/">sistema -estándar de seguimiento de fallos</a>. En su lugar, informe del -problema directamente al <a href="$(HOME)/security/">equipo de -seguridad</a>, que gestionará la publicación de un paquete actualizado -y, una vez corregido, informará de ello en el BTS.</p> - diff --git a/spanish/security/audit/examples/Makefile b/spanish/security/audit/examples/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/examples/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/examples/RATS.wml b/spanish/security/audit/examples/RATS.wml deleted file mode 100644 index 1e46be6c619..00000000000 --- a/spanish/security/audit/examples/RATS.wml +++ /dev/null @@ -1,138 +0,0 @@ -#use wml::debian::template title="Ejemplo de auditoría automatizada: RATS" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="juanma" -# $Id$ - -<p><a href="https://packages.debian.org/rats">RATS</a> es un analizador de -propósito general que se utiliza para detectar potenciales problemas de -seguridad en varios lenguajes de programación.</p> - -<h2>Hacer funcionar RATS</h2> -<p>Hacer funcionar RATS es tan sencillo como invocar el comando con el -directorio que se va a procesar. Se procesarán todos los archivos -que se encuentren y que se reconozcan como archivos fuente. RATS entiende -varios lenguajes de programación, C, Perl, PHP y Python, y los tratará como -fuentes válidas para examinar.</p> -<p>Hay varias opciones que se pueden proporcionar, además del nombre del -directorio que se va a analizar, y se describen en la página del manual.</p> -<p>Las opciones más útiles son las relacionadas con la salida, como:</p> -<ul> -<li>--warning <nivel> (Define el nivel de las debilidades de las que se -informa) -<ul> -<li>1 incluye sólo las predefinidas y las de muy alta severidad.</li> -<li>2 incluye las de severidad media (predefinido).</li> -<li>3 incluye las vulnerabilidades de baja severidad.</li> -</ul></li> -<li>--xml (Salida en XML)</li> -<li>--html (Salida en HTML)</li> -</ul> -<p>Suponiendo que tenemos el <a href="test.c.html">archivo de prueba</a> -situado en el directorio actual sin ningún otro archivo fuente, podemos -invocar el analizador con el siguiente comando:</p> -<pre> -rats --warning 1 --html . >salida.html -</pre> -<p>Producirá un archivo HTML con el resultado del análisis, que puede -cargarse desde un navegador.</p> - -<h2>El resultado</h2> -<p>Al hacer funcionar RATS sobre nuestro <a href="test.c.html">código de -ejemplo</a>, se produce la siguiente salida <i>(Nota del traductor: se -mantiene la salida literal del comando, que es en inglés)</i>:</p> -<hr /> -<div class="sampleblock"> -<h3>Severity: High</h3> -<p>Issue: fixed size global buffer</p> -<p> - Extra care should be taken to ensure that character arrays that are - allocated on the stack are used safely. They are prime targets for - buffer overflow attacks. -</p> -<p> - File: <b>test.c</b><br> - Lines: 10 11 12 -</p> - -<h3>Severity: High</h3> -<p>Issue: strcpy</p> -<p> - Check to be sure that argument 2 passed to this function call will not - copy more data than can be handled, resulting in a buffer overflow. -</p> -<p> - File: <b>test.c</b><br> - Lines: 18 -</p> - -<h3>Severity: High</h3> -<p>Issue: getenv</p> -<p>Environment variables are highly untrustable input. They may be of any length, and contain any data. Do not make any assumptions regarding content or length. If at all possible avoid using them, and if it is necessary, sanitize them and truncate them to a reasonable length. -</p> -<p> - File: <b>test.c</b><br> - Lines: 22 24 </p> - -<h3>Severity: High</h3> -<p>Issue: sprintf</p> -<p> - Check to be sure that the format string passed as argument 2 to this - function call does not come from an untrusted source that could have added - formatting characters that the code is not prepared to handle. - Additionally, the format string could contain `%s' without precision that - could result in a buffer overflow. -</p> -<p> - File: <b>test.c</b><br> - Lines: 24 </p> - -<h3>Severity: High</h3> -<p>Issue: popen</p> -<p> - Argument 1 to this function call should be checked to ensure that it does - not come from an untrusted source without first verifying that it contains - nothing dangerous. -</p> -<p> - File: <b>test.c</b><br> - Lines: 33 </p> - -<h3>Severity: High</h3> -<p> Issue: printf</p> -<p> - Check to be sure that the non-constant format string passed as argument 1 - to this function call does not come from an untrusted source that could - have added formatting characters that the code is not prepared to handle. -</p> -<p> - File: <b>test.c</b><br> - Lines: 42 </p> - <p> - Total lines analyzed: <b>49</b><br> - Total time <b>0.000288</b> seconds<br> - <b>170138</b> lines per second</p> -</div> -<hr /> -<p>La salida es bastante voluminosa, a pesar de que el propio código es muy -breve. Esto muestra uno de los puntos negativos del análisis automatizado, -el volumen de información de la salida.</p> - -<h2>Comprender la salida</h2> -<p>La salida que se ha producido es básicamente una descripción de las -funciones que se encuentren, el número de línea en el que se ha detectado -la debilidad y una descripción del problema. (Como hemos utilizado un nivel -de advertencia «--warning» para restringir sólo a las funciones del nivel -«alto», hemos reducido en cierta manera la salida).</p> -<p>Cada una de las incidencias que hemos descubierto debería ser examinada -manualmente para ver si realmente hay algo mal o si se trata de un falso -positivo (por ejemplo, una función que se pudiera utilizar erróneamente, pero -que se usa de la forma adecuada).</p> -<p>En este caso, vemos que todas las vulnerabilidades de nuestro código han -sido citadas, pero no queda totalmente claro sin abrir el código con un -editor e ir revisando las líneas.</p> -<p>Una gran omisión en la salida es que no se incluyen las líneas a las que -se hace referencia, algo que <a href="flawfinder">flawfinder</a> le permite -incluir.</p> -<hr /> -<p><a href="..">Volver al proyecto de auditoría</a> | -<a href="index">Volver a la página de ejemplos de auditoría</a></p> diff --git a/spanish/security/audit/examples/flawfinder.wml b/spanish/security/audit/examples/flawfinder.wml deleted file mode 100644 index bc786e40038..00000000000 --- a/spanish/security/audit/examples/flawfinder.wml +++ /dev/null @@ -1,107 +0,0 @@ -#use wml::debian::template title="Ejemplo de auditoría automatizada: flawfinder" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Juan M. Garcia" -# $Id$ - -<p><a href="https://packages.debian.org/flawfinder">flawfinder</a> es un analizador de -propósito general para encontrar e informar de debilidades potenciales en código -fuente tanto de C como de C++.</p> - - -<h2>Hacer funcionar flawfinder</h2> -<p>Hacer funcionar flawfinder es tan sencillo como invocar el comando con el -directorio o los nombres de los archivos que se van a procesar. Si se indica -un directorio, se procesarán todos los archivos que se encuentren y que se -reconozcan como archivos fuente en ese directorio.</p> -<p>Además de proporcionar al programa una lista de archivos o directorios, -hay varias opciones de la línea de comandos que se utilizan para controlar el -comportamiento de las herramientas.</p> -<p>Las opciones se explican al detalle en la página del manual, pero hay -opciones particularmente útiles que usaremos en el ejemplo:</p> -<ul> -<li>--minlevel=X -<ul> -<li>Define como X el nivel mínimo de riesgo para que se incluya en la -salida. El rango válido es de 1 a 5, siendo 1 «bajo riesgo» y 5 «alto -riesto».</li> -</ul></li> -<li>--html -<ul> -<li>Formatea la salida como HTML en lugar de como texto sencillo.</li> -</ul></li> -<li>--context -<ul> -<li>Muestra el contexto, por ejemplo, la línea que tiene la potencial -debilidad.</li> -</ul></li> -</ul> - -<p>Para producir un archivo HTML con el resultado de nuestro programa, -teniendo en cuenta sólo las funciones de «alto riesgo», tendríamos que -teclear algo como esto:</p> -<pre> -flawfinder --html --context --minlevel=4 test.c > output.html -</pre> - -<h2>El resultado</h2> -<p>Al hacer funcionar flawfinder sobre nuestro <a href="test.c.html">código -de ejemplo</a>, se produce la siguiente salida <i>(Nota del traductor: se -mantiene la salida literal del comando, que es en inglés)</i>:</p> - -<hr /> -<div class="sampleblock"> -<p> -Examining test.c <br> -<ul> -<li>test.c:18: <b> [4] </b> (buffer) <i> strcpy: - Does not check for buffer overflows when copying to destination. - Consider using strncpy or strlcpy (warning, strncpy is easily misused). </i> -<pre> - strcpy( dir, argv[ 1 ] ); -</pre> -<li>test.c:24: <b> [4] </b> (buffer) <i> sprintf: - Does not check for buffer overflows. Use snprintf or vsnprintf. </i> - -<pre> - sprintf( dir, "%s", getenv( "HOME" ) ); -</pre> -<li>test.c:33: <b> [4] </b> (shell) <i> popen: - This causes a new program to execute and is difficult to use safely. - try using a library call that implements the same functionality if - available. </i> -<pre> - fp = popen( cmd, "r" ); -</pre> -<li>test.c:42: <b> [4] </b> (format) <i> printf: - If format strings can be influenced by an attacker, they can be - exploited. Use a constant for the format specification. </i> - -<pre> - printf( buff ); -</pre> -</ul> -<p> -Number of hits = 4 -<br> -Number of Lines Analyzed = 48 in 0.53 seconds (1392 lines/second) -<br> -</div> -<hr /> - -<h2>Comprender la salida</h2> -<p>Al igual que ocurría con la salida de <a href="RATS">RATS</a>, este -informe es es muy fácil de leer. Muestra claramente las funciones que se -han detectado como potencialmente peligrosas, así como la descripción del -problema.</p> -<p>También es muy útil la inclusión de información de contexto, porque así se -concentra la atención inmediatamente sobre los puntos de interés y se evita -considerar otros que no son tan válidos.</p> -<p>El análisis del <a href="test.c">código de nuestro ejemplo</a> es bastante -inteligente, puesto que no avisa de <i>todas</i> las funciones <tt>strcpy</tt> -problemáticas, sino sólo de la que piensa que podría ser potencialmente -peligrosa.</p> -<p>De esta forma, ha conseguido resaltar todas las debilidades de nuestro -código sin dar lugar a falsos positivos.</p> -<hr /> -<p><a href="..">Volver al proyecto de auditoría</a> | -<a href="index">Volver a la página de ejemplos de auditoría</a></p> diff --git a/spanish/security/audit/examples/index.wml b/spanish/security/audit/examples/index.wml deleted file mode 100644 index 92a6e59bcbf..00000000000 --- a/spanish/security/audit/examples/index.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::template title="Ejemplo de auditoría automatizada" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="6097aaeb789f09a86133073acab93480df51405c" maintainer="juanma" -# $Id$ - -<p>Como se explicó en la <a href="../tools">página de las herramientas de - auditoría</a>, hay varios paquetes en el archivo de Debian que se pueden - usar para auditar automáticamente el código fuente.</p> - - -<h2>Ejemplos de auditoría</h2> -<p>Cada una de las herramientas siguientes se va a probar con el mismo <a - href="test.c.html">trozo de código plagado de errores</a>. Esto permite - comparar directamente la salida de las herramientas.</p> -<p>El código se ha analizado con tres herramientas:</p> -<ul> -<li><a href="flawfinder">flawfinder</a></li> -<li><a href="RATS">RATS</a></li> -<li><a href="pscan">pscan</a></li> -</ul> -<hr /> -<p><a href="..">Volver al proyecto de auditoría</a></p> - diff --git a/spanish/security/audit/examples/pscan.wml b/spanish/security/audit/examples/pscan.wml deleted file mode 100644 index 08e3153a923..00000000000 --- a/spanish/security/audit/examples/pscan.wml +++ /dev/null @@ -1,57 +0,0 @@ -#use wml::debian::template title="Ejemplo de auditoría automatizada: pscan" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Juan M. Garcia" -# $Id$ - -<p><a href="https://packages.debian.org/pscan">pscan</a> es un paquete - diseñado para auditar archivos fuente de C y C++ en busca de vulnerabilidades - de cadena de formato.</p> -<p>No es una herramienta de auditoría de propósito general.</p> - -<h2>Hacer funcionar pscan</h2> -<p>Hacer funcionar pscan es una empresa tan sencilla como invocar el -comando con el nombre del archivo o de los archivos que se vayan a -comprobar. Por ejemplo:</p> -<samp> -pscan <a href="test.c.html">test.c</a> -</samp> -<p>La salida se mostrará directamente en la consola <i>(Nota del traductor: - se mantiene la salida literal del comando, que es en inglés)</i>:</p> -<hr /> -<samp> -test.c:42 SECURITY: printf call should have "%s" as argument 0 -</samp> -<hr /> - -<h2>La salida</h2> -<p>En este caso, la salida se entiende fácilmente. Ha identificado - correctamente que en la llamada a <tt>printf</tt> no se citan los - argumentos correctamente.</p> -<p>La salida también nos muestra qué debemos hacer para corregir la - debilidad, esto es, cambiar el código que lee: -<pre> -printf( buff ); -</pre> -<p>Para que lea:</p> -<pre> -printf( "%s", buff ); -</pre> -<p>Si no se hace esto, se le podría permitir a un atacante que pudiera - controlar la salida de <tt>ls</tt> para que atacara el programa, creando - un archivo llamado "%s" o similar.</p> -<p>Los ataques de cadena de formato se tratan <a - href="http://www.securityfocus.com/guest/3342">en esta introducción de - Security Focus</a> <i>(en inglés)</i>.</p> -<p>El <a href="http://www.dwheeler.com/secure-programs/">Secure Programming - for Linux and Unix HOWTO</a> <i>(Cómo programar de forma segura para Linux - y Unix, en inglés)</i> explica cómo protegerse frente a estos ataques a - funciones variadic <i>(nota del traductor: que no siempre toman el mismo - número de argumentos)</i>, como:</p> -<ul> -<li>printf</li> -<li>fprintf</li> -<li>syslog</li> -</ul> -<hr /> -<p><a href="..">Volver al proyecto de auditoría</a> | -<a href="index">Volver a la página de ejemplos de auditoría</a></p> diff --git a/spanish/security/audit/faq.wml b/spanish/security/audit/faq.wml deleted file mode 100644 index 52742fbb0df..00000000000 --- a/spanish/security/audit/faq.wml +++ /dev/null @@ -1,140 +0,0 @@ -#use wml::debian::template title="Preguntas frecuentes de la auditoría de seguridad de Debian" -#use wml::debian::toc -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" maintainer="juanma" - -<p>Esta página muestra algunas de las preguntas más frecuentes que se suelen - plantear los visitantes que se acercan por vez primera a este proyecto.</p> - -<toc-display> - - -<toc-add-entry name="what">¿Qué es el proyecto de auditoría de seguridad de Debian?</toc-add-entry> - -<p>El proyecto de auditoría de seguridad es un pequeño proyecto dentro de Debian. Está - diseñado para actuar sobre la seguridad de forma preventiva, realizando auditorías del código - fuente de los paquetes que tienen a su disposición los usuarios de Debian.</p> - -<p>La auditoría se centra en la distribución estable de Debian, y su rumbo lo marcan las - <a href="packages">directrices de priorización de paquetes</a>.</p> - - -<toc-add-entry name="start">¿Cuándo comenzó el proyecto de auditoría de Debian?</toc-add-entry> - -<p>El primer aviso se publicó en diciembre de 2002, y lo siguieron varios avisos más.</p> - -<p>Siguió como una característica no oficial hasta que Martin Michlmayr, el líder del - proyecto Debian, declaró su estado como <q>oficial</q>.</p> - -<toc-add-entry name="advisories-from-audit">¿Qué resultados (en forma de - avisos) ha producido el esfuerzo de auditoría?</toc-add-entry> - -<p>Se han publicado varios avisos como parte del trabajo de auditoría. Todos los que se - publicaron antes de que el proyecto tuviera el estatus de oficial se muestran en la - <a href="advisories">página de avisos de auditoría</a>.</p> - -<p>Se espera que en breve los avisos del proyecto sean públicos y se pueda - acceder a los informes de los avisos de seguridad de Debian y buscarlos desde el - <q>Proyecto de auditoría de seguridad de Debian</q>.</p> - - -<toc-add-entry name="advisories">¿Está relacionado el trabajo de la - auditoría con los avisos de seguridad?</toc-add-entry> - -<p>No. Hay muchas incidencias de seguridad que el proceso de auditoría - ha encontrado y de las que no se puede sacar provecho inmediatamente - (sin embargo, podían hacer que el programa cayese). Algunas otras - incidencias relacionadas con la seguridad que hemos encontrado no están - presentes en la versión estable oficial de Debian, pero aparecía en las - versiones en pruebas o inestable. Todos esos descubrimientos se han - comunicado a través del sistema de seguimiento de fallos de Debian (y - en algunas ocasiones, directamente a los autores originales).</p> - -<toc-add-entry name="credit">¿Quién ha participado en este trabajo?</toc-add-entry> - -<p>Steve Kemp comenzó el proyecto de auditoría de seguridad de Debian. Hizo el proceso - inicial y lo probó, encontrando muchas vulnerabilidades.</p> - -<p>Ulf Härnhammar se unió en estos primeros tiempos no oficiales y - encontró varias vulnerabilidades que ya se habían corregido. Al poco - tiempo de que lo hiciera Ulf, Swaraj Bontula y Javier Fernández-Sanguino, - que también encontraron varios problemas de seguridad bastante - significativos.</p> - -<p><a href="http://www.dwheeler.com">David A. Wheeler</a> instigó a Steve Kemp a que - se presentara voluntario para convertirlo en un proyecto oficial de Debian, lo que fue - posible gracias a la implicación de Martin Michlmayr, el líder del proyecto Debian. David - también hizo sugerencias de lo más interesante acerca del contenido de estas páginas, - haciendo una contribución directa a varias secciones.</p> - -<p>El <a href="$(HOME)/security">equipo de seguridad de Debian</a> ha sido - de mucha ayuda para el éxito de la auditoría, asegurándose de que todas las vulnerabilidades - que se encontraban se corregían y se distribuían por el mundo rápidamente.</p> - -<p>Las siguientes personas han contribuido en al menos un aviso de seguridad en -nombre del proyecto:</p> - -#include "$(ENGLISHDIR)/security/audit/data/credits.inc" - -<p>Las colaboraciones siempre son bienvenidas.</p> - - -<toc-add-entry name="contribute">¿Cómo puedo colaborar?</toc-add-entry> - -<p>Si tiene el tiempo y las habilidades necesarias para realizar la auditoría de un paquete, - adelante con ello.</p> - -<p>El <a href="auditing">vistazo general de la auditoría</a> debería darle una buena - idea de cómo afrontar el trabajo. Puede realizar cualquier pregunta que tenga en la -<a -href="https://lists.debian.org/debian-security/">lista de correo de debian-security</a>.</p> - -<toc-add-entry name="mailinglist">¿Puedo debatir sobre paquetes específicos en la - lista de correo?</toc-add-entry> - -<p>Es mejor que no nombre los paquetes en los que haya descubierto los -problemas antes de que se publique un -<a href="$(HOME)/security/">DSA</a>. Si lo hace, podría permitir que -un usuario malvado se aprovechara de cualquier debilidad que haya -descrito antes de que se haya corregido.</p> - -<p>En su lugar, puede usar la lista de correo para describir un trozo -de código y pedir opinión sobre si se podría sacar provecho de esto y -cómo corregirlo.</p> - - -<toc-add-entry name="maintainer">¿Cómo puedo colaborar como mantenedor -de un paquete?</toc-add-entry> - -<p>Los mantenedores de paquetes pueden ayudar a asegurar el software -que están empaquetando echando un vistazo al propio código o pidiendo -ayuda.</p> - -<p>Eche un vistazo a la <a href="maintainers">auditoría para -mantenedores de paquetes</a>.</p> - - -<toc-add-entry name="reporting">¿Cómo informo de un problema que he - descubierto?</toc-add-entry> -<p>Hay una sección en las -<a href="$(HOME)/security/faq#discover">preguntas frecuentes del equipo -de seguridad</a> que describe el proceso.</p> - - -<toc-add-entry name="clean">¿Hay disponibles paquetes auditados y - limpios?</toc-add-entry> - -<p>No. No hay una lista pública de los paquetes que se han examinado y -en los que no se han encontrado problemas.</p> - -<p>En parte, se debe a que puede haber problemas ocultos que hemos -pasado por alto y, también en parte, a que hay varias personas llevando -a cabo las auditorías sin un gran nivel de coordinación.</p> - - -<toc-add-entry name="moreinfo">¿Dónde puedo encontrar más - información?</toc-add-entry> - -<p>Actualmente no hay una lista de correo a la que pueda suscribirse y -realizar preguntas. Por ahora, puede usar la <a href="https://lists.debian.org/debian-security/"> -lista de correo debian-security</a>.</p> - diff --git a/spanish/security/audit/index.wml b/spanish/security/audit/index.wml deleted file mode 100644 index 141762285ef..00000000000 --- a/spanish/security/audit/index.wml +++ /dev/null @@ -1,52 +0,0 @@ -#use wml::debian::template title="Proyecto de auditoría de seguridad de Debian" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="57f73cd8cc7f0c94f280e3444c075d201e8d42a8" maintainer="juanma" -# $Id$ - -<p>El proyecto de auditoría de seguridad de Debian es un proyecto que se -centra en auditar cuestiones de seguridad en los paquetes de Debian.</p> - -<p>En su corta existencia, ha sido responsable de varios <a -href="$(HOME)/security/">avisos de seguridad de Debian</a>, probando que este -proceso de auditoría funciona de verdad para mejorar la seguridad de Debian. -Se espera que de este trabajo produzca más avisos en el futuro.</p> - -<p>Al adoptar una postura eminentemente activa en la auditoría del código, -ayudamos a certificar que Debian continúa su amplia trayectoria de tomarse la -seguridad en serio.</p> - - -<h2>Ámbito de la auditoría</h2> - -<p>El objetivo del proyecto es auditar en busca de debilidades tantos paquetes -de la distribución estable de Debian como sea posible. También se deben -examinar los paquetes de la distribución inestable en busca de debilidades, -reduciendo en primera instancia el índice de paquetes inseguros que entran -en la versión estable.</p> - -<p>Debido al ingente tamaño de la versión actual de Debian, un equipo pequeño -no puede afrontar la auditoría de todos los paquetes, por lo que hay un -sistema de priorización de paquetes que son más sensibles en cuestiones de -seguridad.</p> - -<p>Las <a href="packages">directrices de priorización de paquetes</a> pretenden -asegurar que el tiempo se invierte en la auditoría de los paquetes que -importan. El <a href="tools">vistazo general a las herramientas de -seguridad</a> le muestran cómo puede usar los analizadores de código fuente -disponibles para guiarle en su auditoría.</p> - - -<h2>Avisos publicados anteriormente</h2> - -<p>Para cada paquete vulnerable en el que se haya encontrado un problema, el -equipo de seguridad de Debian publicará un <a -href="$(HOME)/security/">DSA</a>.</p> - -<p>Como referencia, hay una <a href="advisories">lista de avisos -antiguos</a> que el proceso de auditoría ha producido directamente.</p> - - -<h2>Más información</h2> - -<p>Se puede encontrar más información del proyecto en las <a -href="faq">preguntas frecuentes de la auditoría de seguridad</a>.</p> diff --git a/spanish/security/audit/maintainers.wml b/spanish/security/audit/maintainers.wml deleted file mode 100644 index e4a5c0bf9c7..00000000000 --- a/spanish/security/audit/maintainers.wml +++ /dev/null @@ -1,56 +0,0 @@ -#use wml::debian::template title="Auditoría para mantenedores de paquetes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="534d1b782cfb92f46dc41fd064f779fffc329b12" maintainer="juanma" - -<p>Si mantiene un paquete que está en el archivo de Debian, - puede plantearse echar un vistazo al código.</p> - -<p>La disponibilidad de <a href="tools">herramientas de auditoría de código fuente</a> puede - facilitar este proceso de forma significativa. Aunque no tenga el tiempo - suficiente para hacer una auditoría completa, puede hacerla sobre las - áreas potencialmente más problemáticas.</p> - -<p>Si necesita asistencia, por favor contacte con el -<a href="$(HOME)/security/#contact">equipo de seguridad de Debian</a> o bien -la <a href="https://lists.debian.org/debian-security/">lista de correo -(pública) debian-security</a> para asistencia sobre cómo llevar a cabo una -auditoría del código fuente.</p> - - - # considere unirse a la <a - #href="http://shellcode.org/mailman/listinfo/debian-audit">lista de correo debian-audit - #</a> y pedir que un voluntario se haga cargo de su - #paquete.</p> - -<h2>Fuentes para mantenedores</h2> - -<p>Los mantenedores que deseen revisar el código fuente, pueden estar interesados -en leer el artículo de la Debconf6 <a - href="https://people.debian.org/~jfs/debconf6/security/weeding_security_bugs.pdf">«Weeding -out security bugs in Debian» («Espurgando fallos de seguridad en Debian»)</a> (<a href="https://people.debian.org/~jfs/debconf6/security/slides/weeding_security_bugs.slides.pdf">presentación</a>) -o las notas <a - href="https://people.debian.org/~jfs/debconf6/security/common-problems.txt"> -«Short, practical overview on how to find a few common mistakes in programs written in - various languages» («Visión escueta y práctica sobre cómo encontrar algunos problemas comunes en -programas escritos en varios lenguajes»)</a> (ambos documentos escritos por miembros del proyecto -de auditoría). </p> - -<p>El artículo <q>Weeding out security bugs in Debian</q> se presentó en la Debconf6, México, -y fue parte de un taller. Para mantenedores nuevos en auditoría, -<a href="https://people.debian.org/~jfs/debconf6/security/samples/">el código de ejemplo</a> -y los <a -href="http://meetings-archive.debian.net/pub/debian-meetings/2006/debconf6/">vídeos del taller -</a> pueden ser de utilidad.</p> - -<h2>Versiones nuevas</h2> -<p>Como parte de su trabajo de mantenedor responsable, también debería echar -una ojeada a las versiones nuevas que publique el autor del paquete. Si en -el registro de cambios se menciona algún problema de seguridad, debería -intentar descubrir si hay una versión vulnerable del código en la -distribución estable.</p> -<p>Si descubre que hay una versión vulnerable en la distribución estable, -haga el favor de ponerse en contacto con el equipo de seguridad, tal y como -se describe en las <a href="$(HOME)/security/faq">preguntas frecuentes del equipo -de seguridad</a>.</p> - - diff --git a/spanish/security/audit/packages.wml b/spanish/security/audit/packages.wml deleted file mode 100644 index 13a2f6e4595..00000000000 --- a/spanish/security/audit/packages.wml +++ /dev/null @@ -1,105 +0,0 @@ -#use wml::debian::template title="Directrices de priorización para auditoría de paquetes " -#use wml::debian::recent_list -#use wml::debian::translation-check translation="8536cf419447d00f034a8e3ad9efa6a243462fe7" maintainer="juanma" - -<p>Al realizar una auditoría de la distribución Debian, uno de los primeros - problemas es decidir qué paquetes hay que examinar.</p> - -<p>De forma ideal, todos los paquetes se deberían examinar, pero debido al - enorme tamaño del archivo, tiene que haber una forma sencilla de priorizar - el trabajo.</p> - -<p>Las primeras directrices para el examen de los paquetes son:</p> - -<ol> -<li>Cualquier binario que esté instalado con setuid o setgid.</li> - -<li>Cualquiera que proporcione un servicio de red.</li> - -<li>Cualquier CGI o guión PHP accesible de forma remota.</li> - -<li>Cualquiera que tenga un trabajo de cron o cualquier guión automático que - funcione con privilegios de root.</li> - -</ol> - -<p>Los paquetes populares deberían tener una prioridad mayor, porque cualquier - problema en ellos afectará a un gran número de usuarios.</p> - -<p>El <a href="https://popcon.debian.org/">concurso de popularidad de - Debian</a> mantiene una encuesta continuada que muestra qué paquetes son - más populares entre los voluntarios que realizan la encuesta.</p> - -<p>En particular, eche un vistazo a los <a - href="https://popcon.debian.org/by_vote">paquetes ordenados por votos</a>. - La lista <q>por votos</q> ordena los paquetes según su frecuencia de uso entre los - participantes en la encuesta.</p> - -<p>Si la seguridad de un paquete es importante, aún lo es más si cumple alguno - de los criterios de arriba. Y si además es popular (según alguna encuesta - como esta), <em>definitivamente</em> es un candidato a la revisión.</p> - - -<h2>Binarios <tt>setuid</tt> y <tt>setgid</tt>.</h2> - -<p>Los binarios <tt>setuid</tt> y <tt>setgid</tt> son los objetivos - tradicionales de las auditorías de seguridad, porque un binario vulnerable - comprometido con estos permisos puede provocar que un usuario local obtenga - acceso a privilegios que no le pertenecen.</p> - -<p>Para ayudar a buscar, aquí hay una lista con todos los binarios con setuid - y setgid que hay en la versión actual estable.</p> - -<ul> -<li><a href="https://lintian.debian.org/tags/setuid-binary.html">Informe de Lintian - de binarios Setuid en Debian</a></li> - -<li><a href="https://lintian.debian.org/tags/setgid-binary.html">Informe de Lintian -de binarios Setgid en Debian</a></li> - -# POR HACER («TODO») (jfs): lo de arriba no proporciona la misma información que estaba -# disponible en http://shellcode.org/Setuid/ -# ¿preguntar a Steve Kemp sobre mover esta característica a una máquina administrada -# por Debian? -# (o al proyecto de Alioth) -# - -</ul> -<p>Cuando vaya a elegir los binarios, es importante que recuerde que estos - binarios son más sensibles a cuestiones de seguridad que los otros. Los - binarios setuid(root) se deberían examinar antes que, por ejemplo, los - setgid(games) y setuid(bugs).</p> - - -<h2>Servidores de red</h2> - -<p>Los servidores de red son otra fuente de inspiración obvia cuando se - realiza una auditoría de seguridad. Son problemas que podrían aprovechar - los atacantes para comprometer las máquinas de forma remota.</p> - -<p>Los compromisos remotos son generalmente mucho más severos que los - locales.</p> - - -<h2>Guiones en línea</h2> - -<p>Los guiones en línea, especialmente los guiones CGI, son del mismo tipo - que los de los servidores de red. Aunque su propio servidor sea seguro, los - guiones que corren en él también son importantes.</p> - -<p>Un error en un guión que esté disponible en la red es tan serio como un - error en un servidor que esté escuchando conexiones. Ambos podrían - comprometer su máquina.</p> - - -<h2>Trabajos de cron y servicios del sistema</h2> - -<p>Aunque no hay muchos, lo mejor es echar un vistazo a los guiones - automáticos, trabajos de cron, etc., que están incluidos en el paquete.</p> - -<p>Muchas cosas de soporte corren como root de forma predeterminada para - limpiar archivos de registro, etc.</p> - -<p>El éxito en el aprovechamiento de un ataque de enlace simbólico podría - derivar en un compromiso local.</p> - diff --git a/spanish/security/audit/tools.wml b/spanish/security/audit/tools.wml deleted file mode 100644 index 67fb64a5b93..00000000000 --- a/spanish/security/audit/tools.wml +++ /dev/null @@ -1,149 +0,0 @@ -#use wml::debian::template title="Herramientas para auditar la seguridad" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Juan M. Garcia" - -<p>Hay varios paquetes disponibles en el archivo de Debian que están diseñados - para dar asistencia a las auditorías de código fuente. Entre ellos están:</p> - -<ul> -<li><a href="https://packages.debian.org/flawfinder">Flawfinder</a> -<ul> -<li><a href="examples/flawfinder">Ejemplo de uso de flawfinder.</a></li> -</ul></li> -<li><a href="http://archive.debian.net/woody/its4">ITS4</a> -<ul> -<li>No hay ejemplo para ITS4, porque se ha eliminado de la distribución inestable.</li> -</ul></li> -<li><a href="https://packages.debian.org/rats">RATS</a> -<ul> -<li><a href="examples/RATS">Ejemplo de uso de RATS.</a></li> -</ul></li> -<li><a href="https://packages.debian.org/pscan">pscan</a> -<ul> -<li><a href="examples/pscan">Ejemplo de uso de pscan.</a></li> -</ul></li> -</ul> - -<p>Tenga en cuenta también que hay algunas otras herramientas -específicas para una serie de vulnerabilidades de seguridad que aún no -se han empaquetado para Debian pero que pueden ser útiles para los -auditores. Entre ellas están:</p> - -<ul> -<li>Herramientas específicas para errores de XSS: -<ul> -<li><a href="http://freecode.com/projects/xsslint/">Xsslint</a></li> -<li><a href="http://www.devitry.com/screamingCSS.html">ScreamingCSS</a></li> -</ul></li> -<li>Herramientas para probar navegadores web: -<ul> -<li><a href="http://www.securityfocus.com/archive/1/378632">MangleMe</a></li> -</ul></li> -</ul> - -<p>Ninguna de las herramientas es perfecta, y sólo se pueden usar como guías - para un posterior estudio, pero dado que su uso es muy sencillo, es preferible - invertir algo de tiempo en probarlas.</p> - -<p>Cada una de las herramientas tienen distintos puntos fuertes y débiles, por - lo que se recomienda usar más de una.</p> - - -<h2>Flawfinder</h2> - -<p>flawfinder es una herramienta de Python diseñada para analizar código fuente - C y C++ en busca de potenciales debilidades de seguridad.</p> - -<p>Cuando se hace funcionar sobre un directorio que contiene código fuente, - se obtiene un informe de los problemas potenciales que ha detectado, - ordenados por riesgo (<i>riesgo</i> es un entero de 1 a 5). Para obviar los - riesgos menores, es posible decirle al programa que no informe sobre debilidades - menores de un nivel de riesgo particular. De forma predefinida, la salida - aparecerá en texto plano, pero también hay disponible un informe en HTML.</p> - -<p>El programa funciona escaneando el código y buscando el uso de las funciones - que tiene en su base de datos de funciones que normalmente se usan mal.</p> - -<p>Para facilitar la lectura del informe, se puede indicar que contenga la - línea en la que se usa la función, lo que puede ser útil apra detectar un - problema inmediatamente, ya que de otra forma podría ser imposible.</p> - -<p>Puede ver un ejemplo de uso de flawfinder y de su salida en la <a - href="examples/">sección de ejemplos de auditoría</a>.</p> - - -<h2>ITS4</h2> - -<p>ITS4 es una herramienta que pertenece a la sección non-free (no libre) del - archivo de Debian, y sólo está disponible para la distribución - <q>woody</q>.</p> - -<p>ITS4 se puede usar para buscar potenciales agujeros de seguridad en C y - C++, al igual que flawfinder.</p> - -<p>La salida que produce pretende ser inteligente, ya que no tiene en cuenta - algunos de los casos en los que las llamadas a las funciones peligrosas se han - hecho con cuidado.</p> - - -<h2>RATS</h2> - -<p>RATS es una herramienta similar a las citadas anteriormente, con la excepción - de que admite un mayor abanico de lenguajes. En la actualidad, tiene soporte para - C, C++, Perl, PHP y Python.</p> - -<p>La herramienta usa un archivo XML sencillo para leer sus vulnerabilidades, lo que - la convierte en una de las herramientas más sencillas para hacer modificaciones. - Fácilmente se pueden añadir funciones nuevas para cada uno de los lenguajes - soportados.</p> - -<p>Puede ver un ejemplo de uso de RATS y de su salida en la <a - href="examples/">sección de ejemplos de auditoría</a>.</p> - - -<h2>pscan</h2> - -<p>pscan difiere de las herramientas anteriores en que no es un analizador de - propósito general. Se trata de un programa específico para ayudar a detectar - errores de cadena de formato.</p> - -<p>La herramienta intentará encontrar incidencias en el uso de funciones variadic - (n.t. que no siempre toman el mismo número de argumentos) en código fuente C y - C++, como <tt>printf</tt>, <tt>fprintf</tt> y <tt>syslog</tt>.</p> - -<p>Los errores de cadena de formato son bastante sencillos de detectar y corregir. - A pesar de que sean el tipo más reciente de ataques de software, la mayoría de ellos - ya se pueden descubrir y reparar.</p> - -<p>Puede ver un ejemplo de uso de pscan y de su salida en la <a - href="examples/">sección de ejemplos de auditoría</a>.</p> - - -<h2>Comprender la salida del analizador</h2> - -<p>Cada una de las herramientas generales de análisis incluye una salida que - describe la debilidad detectada y, posiblemente, algunos consejos para reparar - el código.</p> - -<p>Por ejemplo, lo siguiente se ha tomado de la salida de RATS y describe el peligro - de <tt>getenv</tt>:</p> - -<p>"Environment variables are highly untrustable input. They may be of -any length, and contain any data. Do not make any assumptions regarding -content or length. If at all possible avoid using them, and if it is -necessary, sanitize them and truncate them to a reasonable length."</p> - -<p>Si necesita alguna pista más para corregir un agujero del que ya se ha - informado, debería estudiar un libro de programación segura, como <a - href="http://www.dwheeler.com/secure-programs/">Secure Programming for Linux and Unix HOWTO</a> - (n.t. en inglés), de David A. Wheeler.</p> - -<p>(Cuando informe de las cuestiones de seguridad, recuerde que se aprecia mucho un - parche que cierre el agujero).</p> - -<p>Las discusiones relativas a cerrar un trozo de código problemático también se - pueden llevar a cabo en la <a - href="https://lists.debian.org/debian-security/">lista de correo debian- - security</a>, simplemente, al ser ésta una lista pública con archivos públicos, tenga cuidado de no ser demasiado explícito a la hora de decir qué - programa tiene la debilidad.</p> - diff --git a/swedish/security/audit/2002/Makefile b/swedish/security/audit/2002/Makefile deleted file mode 100644 index 97e6ae39374..00000000000 --- a/swedish/security/audit/2002/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/swedish,webwml/english,$(CURDIR))/Makefile diff --git a/swedish/security/audit/2002/index.wml b/swedish/security/audit/2002/index.wml deleted file mode 100644 index 593ae99be7d..00000000000 --- a/swedish/security/audit/2002/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Säkerhetsgranskningsbulletiner från 2002" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Bulletiner släppta i 2002</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p>Gå tillbaks till <a href="..">granskningsprojektet</a>, eller till <a href="../advisories">bulletinlistan</a>.</p> - diff --git a/swedish/security/audit/2003/Makefile b/swedish/security/audit/2003/Makefile deleted file mode 100644 index 97e6ae39374..00000000000 --- a/swedish/security/audit/2003/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/swedish,webwml/english,$(CURDIR))/Makefile diff --git a/swedish/security/audit/2003/index.wml b/swedish/security/audit/2003/index.wml deleted file mode 100644 index 0176e1d9359..00000000000 --- a/swedish/security/audit/2003/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Säkerhetsgranskningsbulletiner från 2003" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Bulletiner släppta 2003</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2003.inc" - -<p>Gå tillbaks till <a href="..">granskningsprojektet</a>, eller till <a href="../advisories">bulletinlistorna</a>.</p> - diff --git a/swedish/security/audit/2004/Makefile b/swedish/security/audit/2004/Makefile deleted file mode 100644 index 97e6ae39374..00000000000 --- a/swedish/security/audit/2004/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/swedish,webwml/english,$(CURDIR))/Makefile diff --git a/swedish/security/audit/2004/index.wml b/swedish/security/audit/2004/index.wml deleted file mode 100644 index 7c9428830c0..00000000000 --- a/swedish/security/audit/2004/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Säkerhetsgranskningsbulletiner från 2004" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Bulletiner släppta i 2004</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2004.inc" - -<p>Gå tillbaks till <a href="..">granskningsprojektet</a>, eller till <a href="../advisories">bulletinlistan</a>.</p> - diff --git a/swedish/security/audit/2005/Makefile b/swedish/security/audit/2005/Makefile deleted file mode 100644 index 97e6ae39374..00000000000 --- a/swedish/security/audit/2005/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/swedish,webwml/english,$(CURDIR))/Makefile diff --git a/swedish/security/audit/2005/index.wml b/swedish/security/audit/2005/index.wml deleted file mode 100644 index 37daf0ea2a2..00000000000 --- a/swedish/security/audit/2005/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Säkerhetsgranskningsbulletiner från 2005" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Bulletiner släppta 2005</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2005.inc" - -<p>Gå tillbaks till <a href="..">granskningsprojektet</a>, eller till <a href="../advisories">bulletinlistorna</a>.</p> - diff --git a/swedish/security/audit/2006/Makefile b/swedish/security/audit/2006/Makefile deleted file mode 100644 index 97e6ae39374..00000000000 --- a/swedish/security/audit/2006/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/swedish,webwml/english,$(CURDIR))/Makefile diff --git a/swedish/security/audit/2006/index.wml b/swedish/security/audit/2006/index.wml deleted file mode 100644 index 857f8910c40..00000000000 --- a/swedish/security/audit/2006/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Säkerhetsgranskningsbulletiner från 2006" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Bulletiner släppta i 2006</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2006.inc" - -<p>Gå tillbaks till <a href="..">granskningsprojektet</a>, eller till <a href="../advisories">bulletinlistan</a>.</p> - diff --git a/swedish/security/audit/2007/Makefile b/swedish/security/audit/2007/Makefile deleted file mode 100644 index 97e6ae39374..00000000000 --- a/swedish/security/audit/2007/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/swedish,webwml/english,$(CURDIR))/Makefile diff --git a/swedish/security/audit/2007/index.wml b/swedish/security/audit/2007/index.wml deleted file mode 100644 index 0f667f13d2d..00000000000 --- a/swedish/security/audit/2007/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Säkerhetsgranskningsbulletiner från 2007" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>Bulletiner släppta i 2007</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2007.inc" - -<p>Gå tillbaks till <a href="..">granskningsprojektet</a>, eller till <a href="../advisories">bulletinlistan</a>.</p> - diff --git a/swedish/security/audit/2008/Makefile b/swedish/security/audit/2008/Makefile deleted file mode 100644 index 97e6ae39374..00000000000 --- a/swedish/security/audit/2008/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/swedish,webwml/english,$(CURDIR))/Makefile diff --git a/swedish/security/audit/2008/index.wml b/swedish/security/audit/2008/index.wml deleted file mode 100644 index 02b2da68c14..00000000000 --- a/swedish/security/audit/2008/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Säkerhetsgranskningsbulletiner från 2008" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" - -<h2>Bulletiner släppta i 2008</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2008.inc" - -<p>Gå tillbaks till <a href="..">granskningsprojektet</a>, eller till <a href="../advisories">bulletinlistan</a>.</p> - diff --git a/swedish/security/audit/2009/Makefile b/swedish/security/audit/2009/Makefile deleted file mode 100644 index 97e6ae39374..00000000000 --- a/swedish/security/audit/2009/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/swedish,webwml/english,$(CURDIR))/Makefile diff --git a/swedish/security/audit/2009/index.wml b/swedish/security/audit/2009/index.wml deleted file mode 100644 index d10d3e740bf..00000000000 --- a/swedish/security/audit/2009/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Säkerhetsgranskningsbulletiner från 2009" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" - -<h2>Bulletiner släppta 2009</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Gå tillbaks till <a href="..">granskningsprojektet</a>, eller till <a href="../advisories">bulletinlistan</a>.</p> - diff --git a/swedish/security/audit/2011/Makefile b/swedish/security/audit/2011/Makefile deleted file mode 100644 index 97e6ae39374..00000000000 --- a/swedish/security/audit/2011/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/swedish,webwml/english,$(CURDIR))/Makefile diff --git a/swedish/security/audit/2011/index.wml b/swedish/security/audit/2011/index.wml deleted file mode 100644 index 414562149b9..00000000000 --- a/swedish/security/audit/2011/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="Debian Säkerhetsgranskningsbulletiner från 2011" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="458c03fd57fc50534f97eccb28081fcc2c9cd180" - -<h2>Bulletiner släppta i 2011</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" - -<p>Gå tillbaks till <a href="..">granskningsprojektet</a>, eller till <a href="../advisories">bulletinlistan</a>.</p> - diff --git a/swedish/security/audit/Makefile b/swedish/security/audit/Makefile deleted file mode 100644 index 97e6ae39374..00000000000 --- a/swedish/security/audit/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/swedish,webwml/english,$(CURDIR))/Makefile diff --git a/swedish/security/audit/advisories.wml b/swedish/security/audit/advisories.wml deleted file mode 100644 index bdaa4fea006..00000000000 --- a/swedish/security/audit/advisories.wml +++ /dev/null @@ -1,25 +0,0 @@ -#use wml::debian::template title="Säkerhetsgranskningsbulletiner" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0ad4d180b114f128c3363384351694a7bbe6a069" - -<p>Här hittar du de senaste bulletinerna som har släppts, som ett direkt -resultat av granskningsprojektet.</p> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>Utöver detta så finns bulletinerna som har släppts tidigare år -tillgängliga:</p> - -<ul> -<li><a href="/security/audit/2011">2011</a></li> -<li><a href="/security/audit/2009">2009</a></li> -<li><a href="/security/audit/2008">2008</a></li> -<li><a href="/security/audit/2007">2007</a></li> -<li><a href="/security/audit/2006">2006</a></li> -<li><a href="/security/audit/2005">2005</a></li> -<li><a href="/security/audit/2004">2004</a></li> -<li><a href="/security/audit/2003">2003</a></li> -<li><a href="/security/audit/2002">2002</a></li> -</ul> - diff --git a/swedish/security/audit/examples/Makefile b/swedish/security/audit/examples/Makefile deleted file mode 100644 index 97e6ae39374..00000000000 --- a/swedish/security/audit/examples/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/swedish,webwml/english,$(CURDIR))/Makefile diff --git a/swedish/security/audit/examples/index.wml b/swedish/security/audit/examples/index.wml deleted file mode 100644 index 644626a871d..00000000000 --- a/swedish/security/audit/examples/index.wml +++ /dev/null @@ -1,22 +0,0 @@ -#use wml::debian::template title="Automatiserade Granskningsexempel" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="6097aaeb789f09a86133073acab93480df51405c" - -<p>Som <a href="../tools">sidan för granskningsverktyg</a> förklarade så finns -det flera paket tillgängliga i Debianarkivet som kan användas för att -granska kod automatiskt.</p> - - -<h2>Granskningexempel</h2> -<p>Vart och ett av följande verktyg är testat mot samma bit <a -href="test.c.html">buggig kod</a>. Detta gör att vi kan jämföra utdatan från -verktygen direkt.</p> -<p>Koden har analyserats med hjälp av tre verktyg:</p> -<ul> -<li><a href="flawfinder">flawfinder</a></li> -<li><a href="RATS">RATS</a></li> -<li><a href="pscan">pscan</a></li> -</ul> -<hr /> -<p><a href="..">Tillbaks till granskningsprojektet</a></p> - diff --git a/swedish/security/audit/examples/pscan.wml b/swedish/security/audit/examples/pscan.wml deleted file mode 100644 index 3fbe83e41db..00000000000 --- a/swedish/security/audit/examples/pscan.wml +++ /dev/null @@ -1,83 +0,0 @@ -#use wml::debian::template title="Automatiserat Granskningsexempel: pscan" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" - -<p> - <a href="https://packages.debian.org/pscan">pscan</a>pscan är ett paket som - är skapat för att granska C och C++-källkod efter format string-sårbarheter. -</p> - -<p> - Det är inte ett generellt granskningsverktyg. -</p> - -<h2>Köra pscan</h2> - -<p> - Köra pscan gör man helt enkelt genom att starta det med ett namn på en fil, - eller filer, som man vill kontrollera. Exempelvis: -</p> - -<pre> - pscan <a href="test.c.html">test.c</a> -</pre> - -<p> - Utdatan skrivs direkt till terminalen: -</p> - -<hr /> -<samp> -test.c:42 SECURITY: printf call should have "%s" as argument 0 -</samp> -<hr /> - - -<h2>Udatan</h2> - -<p> - Utdatan i detta fall är lätt att förstå. Den har korrekt identifierat att - anropet till <tt>printf</tt> inte anger sina argument på ett korrekt sätt. -</p> - -<p> - Utdatan visar även vad vi måste göra för att rätta problemet, alltså ändra - koden som lyder: - -<pre> - printf( buff ); -</pre> -<p> - Till att lyda: -</p> - -<pre> - printf( "%s", buff ); -</pre> - -<p> - Om man inte gör detta så kan man tillåta att en angripare som kontrollerar - <tt>ls</tt> utdata angriper programmet, genom att skapa en fil med namnet - "%s" eller liknande. -</p> - -<p> - Formatsträngsangrepp diskuteras i denna <a - href="http://www.securityfocus.com/guest/3342">introduktion i Security - Focus</a>. -</p> - -<p> - <a href="http://www.dwheeler.com/secure-programs/">Secure Programming for - Linux and Unix HOWTO</a> förklarar hur man skyddar sig mot dessa angrepp i - vanligt använda funktioner som: -</p> - -<ul> -<li>printf</li> -<li>fprintf</li> -<li>syslog</li> -</ul> -<hr /> -<p><a href="..">Tillbaks till granskningsprojektet</a> | <a -href="index">Tillbaks till sidan för granskningsexempel</a></p> diff --git a/swedish/security/audit/faq.wml b/swedish/security/audit/faq.wml deleted file mode 100644 index 027f8da2d92..00000000000 --- a/swedish/security/audit/faq.wml +++ /dev/null @@ -1,138 +0,0 @@ -#use wml::debian::template title="Debian Säkerhetsgransknings-FAQ" -#use wml::debian::toc -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -<p>Den här sidan listar några av de vanligaste frågorna besökare kan ha när -de hör talas om detta projekt för första gången.</p> - -<toc-display> - -<toc-add-entry name="what">Vad är Debians Säkerhetsgranskningsprojekt?</toc-add-entry> - -<p>Debians Säkerhetsgranskningsprojekt är ett litet projekt som utförs inom -Debianprojektet, skapat för att ta en proaktiv hållning gentemot säkerhet -genom att granska källkoden i paketen som finns tillgängliga för -Debiananvändare.</p> - -<p>Granskningen fokuserar på Debians stabila utgåva, och granskningsarbetet -följer <a href="packages">riktlinjerna för paketprioritet</a>.</p> - -<toc-add-entry name="start">När startades säkerhetsgranskningsprojektet?</toc-add-entry> - -<p>Den första bulletinen släpptes i December 2002, och följdes av en -serie ytterligare bulletiner med tiden.</p> - -<p>Den fortsatte med inofficiell kapacitet tills den fick <q>officiell</q> -status i Maj 2004 av den dåvarande projektledaren, Martin Michlmayr.</p> - -<toc-add-entry name="advisories-from-audit">Vilka bulletiner har granskningsarbetet -resulterat i?</toc-add-entry> - -<p>Det har släppts flera bulletiner som en del av granskningsarbetet, och -alla som släpptes innan projektet fick officiell status listas på sidan -<a href="advisories">sidan för granskningsbulletiner</a>.</p> - -<p>Vi hoppas att publikt kända bulletiner från projektet i framtiden -kan hittas genom att titta på Debians säkerhetsbulletiner och söka efter -<q>Debians Säkerhetsgranskningsprojekt</q>.</p> - -<toc-add-entry name="advisories">Är allt granskningsarbete relaterat till -bulletiner?</toc-add-entry> - -<p>Faktiskt inte. Det finns många säkerhetsproblem som granskningsprocessen -har funnit men som inte är direkt exploaterbara (de kan dock få ett program -att krascha). Vissa andra exploaterbara säkerhetsproblem som vi har hittat har -inte varit problem i den stabila utgåvan, utan i testningsutgåvan eller den -instabila utgåvan. Alla dessa problem rapporteras genom Debians -felrapporteringssystem (och i vissa fall även direkt till -uppströmsförfattarna).</p> - - -<toc-add-entry name="credit">Vilka har bidragit till detta arbete?</toc-add-entry> - -<p>Steve Kemp startade Debians säkerhetsgranskningsprojekt, skapade den -initiala processen, och testade den genom att hitta flera sårbarheter.</p> - -<p>Ulf Härnhammar gick med under den tidiga inofficiella tiden och hittade -flera sårbarheter som senare har rättats, och Ulf följdes strax efter av -Swaraj Bontula och Javier Fernández-Sanguino som även de hittade -flera betydande säkerhetsbrister.</p> - -<p><a href="http://www.dwheeler.com">David A. Wheeler</a> sporrade Steven Kemp -att erbjuda sig att leda det som ett officiellt Debianprojekt, vilket gjordes -möjligt tack vare inblandning från Debian dåvarande projektledare Martin -Michlmayr. David gav även många hjälpfulla förslag om innehållet på dessa -sidor, och bidrog direkt med flera delar.</p> - -<p><a href="$(HOME)/security">Debian säkerhetsgrupp</a> har varit mycket -hjälpsam i att få granskningen framgångsrik genom att säkerställa att brister -som hittas snabbt rättas och distribueras till användarna.</p> - -<p>Följande personer har bidragit åtminstone en säkerhetsbulletin under -projektet:</p> - -#include "$(ENGLISHDIR)/security/audit/data/credits.inc" - -<p>Fler bidragslämnare är alltid välkomna!</p> - - -<toc-add-entry name="contribute">Hur kan jag bidra?</toc-add-entry> - -<p>Om du har tiden och kunskapen som krävs för att granska ett paket så är -du helt enkelt välkommen att göra så!</p> - -<p>Sidan <a href="auditing">översikt över granskningsarbetet</a> ger dig en -god idé om hur arbetet utförs — om du har ytterligare frågor kan du -ställa dem på -<a -href="https://lists.debian.org/debian-security/">sändlistan debian-security</a>.</p> - -# TODO - Old list, no longer available -# Ask Steve Kemp to provide archives and move them over to an official -# mailing list? -#<a -#href="http://shellcode.org/mailman/listinfo/debian-audit">debian-audit -#mailing list</a>.</p> - -<toc-add-entry name="mailinglist">Kan jag diskutera specifika paket på sändlistan?</toc-add-entry> - -<p>Det är bäst om du inte nämner paketen som innehar problem som du har upptäckt -innan en <a href="$(HOME)/security/">DSA</a> har släppts, eftersom detta skulle -tillåta illasinnade användare att ta utnyttja de brister du har hittat innan -de är rättade.</p> - -<p>Istället kan sändlistan användas för att beskriva en bit kod och fråga -efter åsikter om det är exploaterbart, och hur det kan fixas.</p> - -<toc-add-entry name="maintainer">Hur kan jag bidra som paketunderhållare?</toc-add-entry> - -<p>Paketunderhållare kan hjälpa till att säkerställa säkerheten i mjukvaran -som de paketerar genom att undersöka koden själva, eller genom att fråga efter -hjälp.</p> - -<p>Vänligen se översikten -<a href="maintainers">granskning för paketunderhållare</a>.</p> - -<toc-add-entry name="reporting">Hur rapporterar jag ett problem som jag har -upptäckt?</toc-add-entry> - -<p>Det finns en sektion i <a href="$(HOME)/security/faq#discover">Säkerhetsgruppens -FAQ</a> som beskriver processen.</p> - -<toc-add-entry name="clean">Finns paket som är granskade och funna problemfria tillgängliga?</toc-add-entry> - -<p>Nej, paket som har blivit granskade och funna problemfria listas inte -publikt.</p> - -<p>Detta är delvis på grund av att det kan finnas problem som har missats och -delvis för att granskningen kan ha skett av flera personer utan någon större -mängd koordinering.</p> - -<toc-add-entry name="moreinfo">Var kan jag hitta mer -information?</toc-add-entry> - -<p>Det finns tyvärr ingen sändlista som du kan prenumerera på -för att ställa frågor. För närvarande ber vi dig att använda -<a -href="https://lists.debian.org/debian-security/">sändlistan debian-security</a>.</p> - diff --git a/swedish/security/audit/index.wml b/swedish/security/audit/index.wml deleted file mode 100644 index d49349b4208..00000000000 --- a/swedish/security/audit/index.wml +++ /dev/null @@ -1,67 +0,0 @@ -#use wml::debian::template title="Debians säkerhetsgranskningsprojekt" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="57f73cd8cc7f0c94f280e3444c075d201e8d42a8" - -<p> -Debians säkerhetsgranskningsprojekt är ett projekt med fokus på att granska -Debianpaket med avseende på säkerhetsproblem. -</p> - -<p> -Under den korta tid det varit aktivt har det varit ansvarigt för flera -<a href="$(HOME)/security/">säkerhetsbulletiner i Debian</a>, vilket visar -att granskningsprocessen faktiskt fungerar för att förbättra säkerheten i -Debian. -Vi hoppas att fler bulletiner kommer att komma av framtida arbete. -</p> - -<p> -Genom att jobba förebyggande med att granska koden kan vi bidra till att Debian -vidmakthåller den tonvikt projektet sedan länge lagt på säkerhet. -</p> - -<h2>Område som granskas</h2> - -<p> -Målet med projektet är att granska så många av paketen i Debians stabila utgåva -som möjligt för att se om de innehåller fel. -Viktiga paket i den instabila utgåvan undersöks också för att hitta fel, för -att minska sannolikheten för att osäkra paket kommer in i den stabila -utgåvan till att börja med. -</p> - -<p> -Eftersom Debians nuvarande utgåva är så stor är det ogörligt för en liten -grupp att kunna granska alla paket, så det finns ett system för att välja ut -vilka paket som är mer känsliga för säkerhetsproblem. -</p> - -<p> -<a href="packages">Paketprioriteringsriktlinjerna</a> -är avsedda att försäkra oss om att -den tid som läggs ned på granskning riktas mot de paket som spelar roll och -<a href="tools">översikten över granskningsverktyg</a> innehåller några av -de tillgängliga källkodsavsökare som kan användas för att hjälpa till i -granskningen. -</p> - -<h2>Tidigare släppta bulletiner</h2> - -<p> -För alla paket som har visat sig sårbara för ett säkerhetsproblem kommer en -<a href="$(HOME)/security/">DSA</a> publiceras av Debians säkerhetsgrupp. -</p> - -<p> -Som referens finns det en -<a href="advisories">förteckning över tidigare bulletiner</a> -som kommit som ett direkt resultat av -granskningsprocessen. -</p> - -<h2>Ytterligare information</h2> - -<p> -Ytterligare information om projektet finns i -<a href="faq">Ofta ställda frågor om säkerhetsgranskningen</a>. -</p> diff --git a/swedish/security/audit/maintainers.wml b/swedish/security/audit/maintainers.wml deleted file mode 100644 index 275535b620d..00000000000 --- a/swedish/security/audit/maintainers.wml +++ /dev/null @@ -1,54 +0,0 @@ -#use wml::debian::template title="Granskning för Paketunderhållare" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="534d1b782cfb92f46dc41fd064f779fffc329b12" - -<p>Vänligen överväg att titta över koden själv om du underhåller ett paket som -finns i Debianarkivet.</p> - -<p>Tillgängligheten av <a href="tools">källkodsgranskningsverktyg</a> kan -förenkla denna process avsevärt, och även om du inte har tiden att göra en -grundlig granskning själv så kan du hitta delar av koden som har potentiella -problem.</p> - -<p>Om du behöver assistans, vänligen kontakta antingen -<a href="$(HOME)/security/#contact">Debians säkerhetsgrupp</a> eller (den publika) -<a -href="https://lists.debian.org/debian-security/">sändlistan debian-security</a> -för assistans om hur man genomför en källkodssäkerhetsgranskning.</p> - - -# consider joining the <a -#href="http://shellcode.org/mailman/listinfo/debian-audit">debian-audit -#mailing list</a> and asking for a volunteer to look over your -#package.</p> - -<h2>Källor för underhållare</h2> - -<p>Underhållare som vill granska källkod kan vara intresserade av att läsa -Debconf6-dokumentet <a -href="https://people.debian.org/~jfs/debconf6/security/weeding_security_bugs.pdf">Rensa -bort säkerhetsproblem i Debian</a> (<a href="https://people.debian.org/~jfs/debconf6/security/slides/weeding_security_bugs.slides.pdf">bildspel</a>) eller anteckningarna <a -href="https://people.debian.org/~jfs/debconf6/security/common-problems.txt">Kort, -praktisk översikt över hur man hittar några vanliga misstag i program skrivna -i olika språk</a> (Båda dokumenten är skrivna av medlemmar i -granskningsprojektet). -</p> - -<p>Dokumentet <q>Rensa bort säkerhetsproblem i Debian</q> presenterades i -Debconf6, Mexico, och var en del av en workshop. För underhållare som är nybörjare -på granskning finns -<a href="https://people.debian.org/~jfs/debconf6/security/samples/">exempelkoded</a> samt <a -href="http://meetings-archive.debian.net/pub/debian-meetings/2006/debconf6/">videos -från workshopen</a> som kan vara användbart.</p> - -<h2>Nya utgåvor</h2> - -<p>Som en del av att vara en mottaglig underhållare bör du även hålla ett öga -på utgåvor av din mjukvara uppströms. Om ändringsloggen nämner ett -säkerhetsproblem skall du försöka se om du har en version av koden i den -stabila utgåvan som är sårbar.</p> - -<p>Om du har en sårbar version i den stabila utgåvan så kontakta vänligen -säkerhetsgruppen - som beskrivet <a -href="$(HOME)/security/faq">i säkerhetsFAQen</a>.</p> - diff --git a/swedish/security/audit/packages.wml b/swedish/security/audit/packages.wml deleted file mode 100644 index f2149d3841c..00000000000 --- a/swedish/security/audit/packages.wml +++ /dev/null @@ -1,103 +0,0 @@ -#use wml::debian::template title="Riktlinjer rörande prioritering av granskning av paket" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="8536cf419447d00f034a8e3ad9efa6a243462fe7" - -<p>När man utför en granskning av Debiandistributionen så är ett av de -första problemen att bestämma vilka paket man skall granska.</p> - -<p>Idealet vore att undersöka alla, men på grund av arkivets storlek så -måste det finnas ett enklare sätt att prioritera sitt arbete.</p> - -<p>Som en enkel uppsättning av riktlinjer är paketen som bör undersökas -först följande:</p> - -<ol> - <li>Alla binärer som installeras setuid eller setgid.</li> - - <li>Allt som tillhandahåller en tjänst över ett nätverk.</li> - - <li>Alla CGI/PHP-skript med fjärråtkomst.</li> - - <li>Allt som tillhandahåller ett cronjob eller annat automatiserat - skript som körs med root-rättigheter.</li> - -</ol> - -<p>Populära paket skall i allmänhet få en högre prioritet, eftersom -eventuella problem i dessa påverkar en större mängd användare.</p> - -<p><a href="https://popcon.debian.org/">Debian Popularity Contest</a> \ -håller en löpande undersökning för att visa vilka paket som är mest -populära bland de frivilliga i undersökningen.</p> - -<p>Ta speciellt en titt på <a -href="https://popcon.debian.org/by_vote">paket sorterade efter röster</a>. -<q>Efter röster</q> listar paket efter hur ofta de används av personerna -som deltar i undersökningen.</p> - -<p>Om ett paket är viktigt rörande säkerhet, speciellt om det möter något -av kriterierna ovan, och är populärt (enligt en undersökning som denna), -så är det <em>definitivt</em> en kandidat för granskning.</p> - - -<h2><tt>setuid</tt>- och <tt>setgid</tt>-binärer</h2> - -<p><tt>setuid</tt>- och <tt>setgid</tt>-binärer är traditionella mål -för säkerhetsgranskningar, eftersom att komprommettera en sårbar binär med -någon av dessa rättigheter kan leda till att en lokal användare får -åtkomsträttigheter som de annars inte skulle ha.</p> - -<p>För att hjälpa sökningen finns det en lista på alla setuid och setgid-binärer -som innefattas i den aktuella stabila utgåvan.</p> - -<ul> - -<li><a href="https://lintian.debian.org/tags/setuid-binary.html">Lintianrapport -över Setuid-binärer i Debian</a></li> - -<li><a href="https://lintian.debian.org/tags/setgid-binary.html">Lintianrapport -över Setgid-binärer i Debian</a></li> - -</ul> - -# TODO (jfs): the above does not provide the same information as was available at -# http://shellcode.org/Setuid/ -# ask Steve Kemp to move this feature to a Debian-administered machine? -# (or to the Alioth project) -# - -<p>När det kommer till att välja dessa binärer är det viktigt att komma ihåg -att några av dessa binärer är mer säkerhetskänsliga än andra. -setuid(root)-binärer bör exempelvis undersökas före setgid(games) och -setuid(bugs).</p> - - -<h2>Nätverksservrar</h2> - -<p>Nätverksservrar är en annan uppenbar insprirationskälla när det kommer -till att utföra säkerhetsgranskningar, eftersom ett exploaterbart problem -i dessa kan leda till att attackerare äventyrar maskiner på avstånd.</p> - -<p>Säkerhetsproblem på distans är vanligvis mycket mer allvarligt än -lokala brister.</p> - -<h2>Onlineskript</h2> - -<p>Onlineskript, speciellt CGI-skript, är verkligen i samma klass -som nätverksservrar — även om din webbserver kan vara säker så -är skripten som kör på servern lika viktiga.</p> - -<p>Ett fel i ett skript som är tillgängligt via nätverket är ett lika -allvarligt fel som ett fel i server som lyssnar efter anslutningar — -båda kan tillåta din maskin att äventyras lika mycket.</p> - -<h2>Cronjob och systemtjänster</h2> - -<p>Medan det inte finns så många av dessa så kan det vara värt att se på -automatiska skript, cronjob, osv, som inkluderas i paket.</p> - -<p>En hel del supportsaker kör som root som standard för att rensa loggfiler, -osv.</p> - -<p>Framgångsrik exploatering av en symlänkattack kunde resultera i en lokal -brist.</p> diff --git a/swedish/security/audit/tools.wml b/swedish/security/audit/tools.wml deleted file mode 100644 index 7fe5ec9d308..00000000000 --- a/swedish/security/audit/tools.wml +++ /dev/null @@ -1,147 +0,0 @@ -#use wml::debian::template title="Säkerhetsgranskningsverktyg" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" - -<p>Det finns flera paket tillgängliga i Debianarkivet som är designade för att -hjälpa vid källkodsgranskning. Dessa inkluderar:</p> - -<ul> -<li><a href="https://packages.debian.org/flawfinder">Flawfinder</a> -<ul> -<li><a href="examples/flawfinder">Exempel på användning av flawfinder</a></li> -</ul></li> -<li><a href="http://archive.debian.net/woody/its4">ITS4</a> -<ul> -<li>Det finns inget exempel för ITS4, eftersom verktyget har tagits bort från -den instabila distributionen.</li> -</ul></li> -<li><a href="https://packages.debian.org/rats">RATS</a> -<ul> -<li><a href="examples/RATS">Exempel på användning av RATS</a></li> -</ul></li> -<li><a href="https://packages.debian.org/pscan">pscan</a> -<ul> -<li><a href="examples/pscan">Exempel på användning av pscan</a></li> -</ul></li> -</ul> - -<p>Notera även att det finns andra verktyg som är specifika för en uppsättning -säkerhetssårbarheter och som kanske inte har paketerats för Debian ännu, men -som kan var användbara för en granskning. Dessa inkluderar:</p> - -<ul> -<li>Verktyg specifika för XSS-fel: -<ul> -<li><a href="http://freecode.com/projects/xsslint/">Xsslint</a></li> -<li><a href="http://www.devitry.com/screamingCSS.html">ScreamingCSS</a></li> -</ul></li> -<li>Verktyg för att testa webbläsare: -<ul> -<li><a href="http://www.securityfocus.com/archive/1/378632">MangleMe</a></li> -</ul></li> -</ul> - -<p>Inget av dessa verktyg är perfekt och kan endast användas som riktlinjer -för vidare granskning, men med tanke på hur enkla de är att använda så är det -värt att ta sig tid att testa dem.</p> - -<p>Var och ett av dessa verktyg har olika styrkor och svagheter så det -rekommenderas att använda fler än ett.</p> - - -<h2>Flawfinder</h2> - -<p>flawfinder är ett Pythonverktyg som är designat för att analysera C och C++- -källkod och söka efter potentiella säkerhetsbrister.</p> - -<p>När man kör det mot en mapp som innehåller källkod kommer det att mata ut -en rapport med de potentiella problem som det har detekterat, sorterat efter -risk (där <i>risk</i> är ett heltal 1–5). För att filtrera bort små -risker är det möjligt att säga till programmet att inte rapportera brister -under en viss risknivå. Som standard kommer utdatan som ren text, men en -HTML-rapport är också tillgänglig.</p> - -<p>Programmet arbetar genom att scanna koden efter användning av funktioner -som finns i en databas av funktioner som ofta används felaktigt.</p> - -<p>För att hjälpa till vid läsning av rapporten är det möjligt att få den -utmatade rapporten att innehålla raden som innehåller den använda funktionen, -vilket kan hjälpa för att direkt upptäcka ett problem, eller på samma sätt -utesluta det.</p> - -<p>Du kan se ett exempel på hur flawfinder används, och dess utdata i -<a href="examples/">sektionen för granskningsexempel</a>.</p> - - -<h2>ITS4</h2> - -<p>ITS4 är ett verktyg som finns i icke-fria delen av Debianarkivet, -och är endast tillgängligt för utgåvan <q>woody</q>.</p> - -<p>ITS4 kan användas både för att scanna C och C++-kod för potentiella -säkerhetshål, likt flawfinder.</p> - -<p>Utdatan som produceras försöker vara intelligent, genom att utesluta -en del av fallen där anrop till farliga funktioner har gjorts försiktigt.</p> - - -<h2>RATS</h2> - -<p>RATS liknar verktygen som listats ovan, med skillnaden att det kommer -med ett stöd för en större mängd språk. För närvarande stödjer det -C, C++, Perl, PHP och Python.</p> - -<p>Verktyget använder sig av en enkel XML-fil för att läsa in sina sårbarheter -från vilket gör det till ett av de enklaste av de tillgängliga verktygen att -modifiera. Nya funktioner kan enkelt läggas till för varje språk.</p> - -<p>Du kan se ett exempel på hur man använder RATS, och dess utdata i -<a href="examples/">sektionen för granskningsexempel</a>.</p> - - -<h2>pscan</h2> - -<p>pscan skiljer sig från de tidigare beskrivna verktygen i det att det inte -är en scanner för allmänna ändamål. Istället är det ett program specifikt med -målet att upptäckta fel i formatsträngar.</p> - -<p>Verktyget kommer att försöka upptäcka potentiella problem i användningen av -variabla funktioner från C och C++-källkod, så som -<tt>printf</tt>, <tt>fprintf</tt> och <tt>syslog</tt>.</p> - -<p>Fel i formatsträngar är relativt enkla att upptäcka och rätta, även om -de är den nyaste klassen av mjukvaruattacker och antagligen har majoriteten av -dem redan upptäckts och reparerats.</p> - -<p>Du kan se ett exempel på hur pscan används, och dess utdata i -<a href="examples/">sektionen för granskningsexempel</a>.</p> - - -<h2>Att förstå utdatan från en granskning</h2> - -<p>Var och ett av de allmänna verktygen kommer att inkludera utdata som -beskriver den detekterade nristen, och möjligen ge råd angående hur koden -kan rättas.</p> - -<p>Exempelvis är följande taget från utdatan från RATS, och beskriver -riskerna med <tt>getenv</tt>:</p> - -<p>"Miljövariabler är högst opålitlig indata. De kan ha -vilken längd som, och innehålla vilket data som helst. Gör inte några -antaganden rörande längd eller innehåll. Om det är möjligt, undvik att -använda dem, och om det är möjligt, rengör dem och trunkera dem till en -lämplig längd."</p> - -<p>Om du behöver vidare råd om hur man rättar ett hål som har rapporterats -så bör du studera en bok om hur man programmerar säkert, så som -<a href="http://www.dwheeler.com/secure-programs/">Secure -Programming for Linux and Unix HOWTO</a> av David A. Wheeler.</p> - -<p>(Kom ihåg att när du rapporterar säkerhetsproblem så är en patch som rättar -hålet mycket uppskattat)</p> - -<p>Diskussioner relaterade till att stänga en särskilt problemetisk bit -kod kan även hållas på <a href="https://lists.debian.org/debian-security/">sändlistan -debian-security</a>, men eftersom det är en publik lista med publika arkiv, -var vänlig och gör det inte övertydligt vilket program som innehåller bristen.</p> - |