diff options
| author | Holger Wansing <holger-guest> | 2014-09-17 22:14:11 +0000 |
|---|---|---|
| committer | Holger Wansing <holger-guest> | 2014-09-17 22:14:11 +0000 |
| commit | 2f200db83e3489f65437dc446a295614b74f570c (patch) | |
| tree | fd72a67acff96dbd7e80a608c4c17f1822e09a4c /german/security | |
| parent | b4e9b860d105181fa6b95b50b43718cda2242c54 (diff) | |
Sync (1.81 -> 1.86) and complete proofreading
CVS version numbers
german/security/faq.wml: 1.102 -> 1.103
Diffstat (limited to 'german/security')
| -rw-r--r-- | german/security/faq.wml | 266 |
1 files changed, 145 insertions, 121 deletions
diff --git a/german/security/faq.wml b/german/security/faq.wml index d97a9466bae..748098a808f 100644 --- a/german/security/faq.wml +++ b/german/security/faq.wml @@ -1,11 +1,11 @@ #use wml::debian::template title="Debian Sicherheits-FAQ" -#use wml::debian::translation-check translation="1.81" +#use wml::debian::translation-check translation="1.86" # $Id$ # Translation: Gerfried Fuchs <alfie@debian.org> -# Updated: Holger Wansing <linux@wansing-online.de>, 2011 +# Updated: Holger Wansing <linux@wansing-online.de>, 2011 + 2014. #include "$(ENGLISHDIR)/security/faq.inc" -<p>Zurzeit erreichen uns die folgenden Fragen etwas zu oft, deshalb wurden +<p>Derzeit erreichen uns die folgenden Fragen etwas zu oft, deshalb wurden die Antworten dazu hier zusammengefasst.</p> <maketoc> @@ -14,9 +14,9 @@ die Antworten dazu hier zusammengefasst.</p> korrekt verifiziert werden!</toc-add-entry> <p>A: Das ist höchstwahrscheinlich ein Problem auf Ihrer Seite. Die <a href="https://lists.debian.org/debian-security-announce/">\ - debian-security-announce</a> Liste besitzt einen Filter, der es nur erlaubt, - Nachrichten mit einer korrekten Signatur eines Mitglieds des - Sicherheitsteams zu versenden.</p> + debian-security-announce</a>-Liste besitzt einen Filter, der + sicherstellt, dass nur Nachrichten mit einer korrekten Signatur + eines Mitglieds des Sicherheitsteams versendet werden.</p> <p>Die häufigste Ursache dafür ist zumeist ein E-Mail-Programm auf Ihrer Seite, das die Nachricht leicht verändert und dadurch die Signatur ungültig macht. @@ -31,7 +31,7 @@ die Antworten dazu hier zusammengefasst.</p> <toc-add-entry name="handling">Wie wird die Sicherheit in Debian gehandhabt?</toc-add-entry> <p>A: Wenn das Sicherheitsteam auf einen Vorfall aufmerksam wird, überprüfen - ihn ein oder mehrere Mitglieder und überlegen seinen Einfluss auf das + ihn ein oder mehrere Mitglieder und bewerten seinen Einfluss auf das Stable-Release von Debian (z.B. ob es verwundbar ist oder nicht). Wenn unser System verwundbar ist, arbeiten wir an einer Problembehebung. Der Paketbetreuer wird ebenfalls kontaktiert, wenn dieser @@ -46,7 +46,7 @@ die Antworten dazu hier zusammengefasst.</p> Pakets herum?</toc-add-entry> <p>Die wichtigste Regel beim Erstellen eines neuen Pakets, das ein Sicherheitsproblem behebt, ist, so wenig Änderungen wie möglich vorzunehmen. - Unsere Benutzer und Entwickler vertrauen auf das genaue Verhalten eines + Unsere Benutzer und Entwickler vertrauen auf das fehlerfreie Verhalten eines Releases nach dessen Freigabe, daher kann jede Änderung, die wir durchführen, möglicherweise das System von jemandem zerstören. Dies gilt insbesondere für Bibliotheken: Es muss darauf geachtet werden, dass sich das @@ -58,45 +58,48 @@ die Antworten dazu hier zusammengefasst.</p> sollten. Üblicherweise sind die Upstream-Betreuer, wenn notwendig, bereit zu helfen, falls das Debian Sicherheitsteam nicht helfen kann.</p> -<p>In einigen Fällen ist es nicht möglich, eine Sicherheitsreparatur +<p>In einigen Fällen ist es nicht möglich, eine Sicherheitskorrektur zurückzuportieren, zum Beispiel, wenn ein großer Teil des Quellcodes modifiziert oder neu geschrieben werden muss. Wenn dies passiert, kann es notwendig sein, auf eine neue Upstream-Version umzusteigen, aber dies muss zuvor mit dem Sicherheitsteam koordiniert werden.</p> -<toc-add-entry name=policy>Was sind die Richtlinien für ein repariertes Paket, +<toc-add-entry name=policy>Was sind die Richtlinien für ein korrigiertes Paket, um auf security.debian.org zu erscheinen?</toc-add-entry> -<p>A: Sicherheits-Lücken in der Stable-Distribution garantieren, dass ein Paket +<p>A: Sicherheitslücken in der Stable-Distribution garantieren, dass ein Paket zu security.debian.org hinzugefügt wird. Alles andere tut das nicht. Die Größe der Lücke ist hier nicht das wirkliche Problem. Üblicherweise bereitet das Sicherheitsteam die Pakete gemeinsam mit dem Paketbetreuer vor. Sofern jemand (ein Vertrauenswürdiger) das Problem analysiert, alle benötigten Pakete übersetzt und diese an das Sicherheitsteam übermittelt, dann können auch - sehr kleine Sicherheitsreparaturen auf security.debian.org erscheinen. - Lesen Sie dazu bitte auch unterhalb weiter.</p> + sehr kleine Sicherheitskorrekturen auf security.debian.org erscheinen. + Lesen Sie dazu bitte auch unten weiter.</p> -<p>Sicherheitsaktualisierungen dienen einem Zweck: Eine Behebung für eine - Sicherheitsverwundbarkeit zu bieten. Sie sind keine Methode, um zusätzliche +<p>Sicherheitsaktualisierungen dienen einem Zweck: eine Behebung für eine + Verwundbarkeit zu bieten. Sie sind keine Methode, um zusätzliche Änderungen in das Stable-Release einzubringen, ohne diese die normale - Prozedur einer Zwischenveröffentlichung (Point-Release) durchmachen zu lassen.</p> + Prozedur einer Zwischenveröffentlichung (Point-Release) durchlaufen zu + lassen.</p> -<toc-add-entry name=localremote>Was bedeutet <q>lokal (aus der Ferne)</q>?</toc-add-entry> +<toc-add-entry name=localremote>Was bedeutet <q>local (remote)</q> (lokal + (aus der Ferne))?</toc-add-entry> <p>A: Einige Ankündigungen decken Verwundbarkeiten ab, die nicht mit dem klassischen - Schema von lokalen und Verwundbarkeiten aus der Ferne identifiziert werden + Schema von lokalen Verwundbarkeiten und Verwundbarkeiten aus der Ferne + identifiziert werden können. Einige Verwundbarkeiten können nicht aus der Ferne ausgenutzt werden, - d.h. sie entsprechen nicht einem Daemon, der auf einer Netzschnittstelle + d.h. sie beziehen sich nicht auf einen Daemon, der auf einer Netzwerkschnittstelle horcht. Falls sie durch spezielle Dateien ausgenutzt werden können, die - über das Netz bereit gestellt werden, während der verwundbare Dienst nicht - permanent mit dem Netz verbunden ist, schreiben wir in diesen Fällen <q>lokal - (aus der Ferne)</q>. + über das Netz bereit gestellt werden, der verwundbare Dienst aber nicht + permanent mit dem Netz verbunden ist, schreiben wir in diesen Fällen + <q>local (remote)</q>. </p> <p>Diese Verwundbarkeiten liegen irgendwo zwischen lokalen und solchen aus der Ferne und decken oft Archive ab, die über das Netz bereitgestellt werden - könnten, z.B. E-Mail-Anhänge oder von einer Download-Seite. + könnten, z.B. E-Mail-Anhänge oder Dateien von einer Download-Seite. </p> @@ -105,12 +108,13 @@ die Antworten dazu hier zusammengefasst.</p> <p>A: Anstatt auf ein neues Release zu aktualisieren, portieren wir die Sicherheits-Fixes auf die Version zurück, die mit dem Stable-Release ausgeliefert wurde. Wir tun dies, um zu garantieren, - dass eine Veröffentlichung so wenig wie möglich ändert, damit sich als - Resultat des Sicherheits-Fixes nichts ändert oder unerwartet Probleme - verursacht werden. Sie können überprüfen, ob Sie eine sichere Version eines - Paketes verwenden, indem Sie die changelog-Datei des Paketes ansehen, oder - seine exakte Versionsnummer mit der angezeigten Version im - Debian-Sicherheitsankündigungen vergleichen.</p> + dass eine Veröffentlichung sich so wenig wie möglich ändert, damit als + Resultat des Sicherheits-Fixes keine unerwünschten Änderungen oder + unerwarteten Probleme auftreten. + Sie können überprüfen, ob Sie eine sichere Version eines + Paketes verwenden, indem Sie in die changelog-Datei des Paketes schauen, oder + seine exakte Versionsnummer mit der angezeigten Version in der + Debian-Sicherheitsankündigung vergleichen.</p> <toc-add-entry name=archismissing>Ich habe eine Ankündigung erhalten, aber @@ -132,35 +136,30 @@ die Antworten dazu hier zusammengefasst.</p> <toc-add-entry name=unstable>Wie wird die Sicherheit für <tt>Unstable</tt> gehandhabt?</toc-add-entry> -<p>A: Die kurze Antwort ist: gar nicht. Unstable ist starken Änderungen - unterworfen und das Sicherheitsteam hat nicht die Mittel, die benötigt - würden, um diese entsprechend zu unterstützen. Falls Sie einen sicheren (und - stabilen) Server benötigen, wird Ihnen nachdrücklich empfohlen, bei Stable - zu bleiben.</p> - +<p>A: Die Sicherheit für Unstable wird primär durch die Paketbetreuer + bewerkstelligt, nicht durch das Debian-Sicherheitsteam. Obwohl das + Sicherheitsteam auch Korrekturen mit hoher Dringlichkeit zum Zwecke + der Behebung von Sicherheitsproblemen hochladen kann, wenn + festgestellt wird, dass der Betreuer nicht aktiv wird, hat die + Sicherheitsunterstützung für Stable immer Priorität. + Falls Sie einen sicheren (und stabilen) Server benötigen, wird Ihnen + nachdrücklich empfohlen, bei Stable zu bleiben.</p> <toc-add-entry name=testing>Wie wird die Sicherheit für <tt>Testing</tt> gehandhabt?</toc-add-entry> -<p>A: Falls Sie einen sicheren (und stabilen) Server benötigen, wird Ihnen - nachdrücklich empfohlen, bei Stable zu bleiben. Allerdings gibt es - Sicherheitsunterstützung für Testing: Das Debian - Testing-Security-Team behandelt Probleme von Testing. Es stellt sicher, - dass die korrigierten - Pakete Testing auf dem normalen Weg durch Migration aus Unstable (mit - reduzierter Quarantäne-Zeit) erreichen oder, falls das zu lange - dauert, sie über die normale <a href="http://security.debian.org">\ - http://security.debian.org</a>-Infrastruktur erledigt werden. Um diese - zu benutzen, muss die folgende Zeile in <code>/etc/apt/sources.list</code> - enthalten sein:</p> - <p><code>deb http://security.debian.org <codename>/updates main</code></p> -<p>Führen Sie dann <code>apt-get update && apt-get upgrade</code> wie - gewohnt aus.</p> -<p>Beachten Sie, dass dies nicht garantiert, dass alle bekannten - Sicherheitsprobleme in Testing behoben sind! Einige aktualisierte Pakete - könnten auf den Übergang nach Testing warten. - Weitere Informationen über die Sicherheits-Infrastruktur für Testing kann - unter <a href="http://secure-testing-master.debian.net/">\ - http://secure-testing-master.debian.net/</a> gefunden werden.</p> +<p>A: Die Sicherheit für Testing profitiert von den Bemühungen des + ganzen Projekts, die Sicherheit für Unstable zu gewährleisten. + Allerdings gibt es eine minimale zweitägige Verzögerung für die + Migration der Korrekturen und manchmal können Sicherheitskorrekturen + auch durch Versionsübergänge verzögert/aufgehalten werden. Das + Sicherheitsteam hilft bei solchen Übergängen, indem wichtige + Sicherheits-Uploads zurückgehalten werden, aber dies ist nicht immer + möglich und dabei könnten auch Verzögerungen auftreten. + Speziell in den Monaten nach einer neuen Stable-Veröffentlichung, wenn + viele neue Versionen nach Unstable hochgeladen werden, könnten + Sicherheitskorrekturen für Testing hinterher hinken. + Falls Sie einen sicheren (und stabilen) Server benötigen, wird Ihnen + nachdrücklich empfohlen, bei Stable zu bleiben.</p> <toc-add-entry name=contrib>Wie wird die Sicherheit für <tt>contrib</tt> und @@ -168,9 +167,10 @@ die Antworten dazu hier zusammengefasst.</p> <p>A: Die kurze Antwort ist: gar nicht. Contrib und non-free sind nicht offizieller Bestandteil der Debian-Distribution und werden nicht freigegeben und daher nicht vom Sicherheitsteam unterstützt. Einige - non-free Pakete werden ohne Quellcode oder ohne eine Lizenz vertrieben, - die die Verteilung von geänderten Versionen erlaubt. In diesen Fällen ist - es überhaupt nicht möglich, Sicherheitsreparaturen durchzuführen. + non-free-Pakete werden ohne Quellcode vertrieben oder ohne eine Lizenz, + die die Verteilung von geänderten Versionen erlauben würde. + In diesen Fällen ist + es überhaupt nicht möglich, Sicherheitskorrekturen durchzuführen. Falls es möglich ist, das Problem zu beheben und der Paketbetreuer oder jemand anderes korrekte, aktualisierte Pakete zur Verfügung stellt, wird das Security-Team diese normalerweise bearbeiten und eine Ankündigung @@ -179,25 +179,25 @@ die Antworten dazu hier zusammengefasst.</p> <toc-add-entry name=sidversionisold>Die Ankündigung sagt, dass Unstable in Version 1.2.3-1 korrigiert sei, aber 1.2.5-1 ist in Unstable. Was ist - hier los?</toc-add-entry> + da los?</toc-add-entry> <p>A: Wir versuchen, die erste Version in Unstable anzugeben, bei der das Problem behoben wurde. Manchmal hat der Betreuer in der Zwischenzeit noch neuere Versionen hochgeladen. Vergleichen Sie die Version in Unstable mit - der angegebenen Version. Falls Erstere identisch oder höher als Zweitere ist, + der angegebenen Version. Falls erstere identisch oder höher ist als die zweite, sollten Sie vor der Verwundbarkeit geschützt sein.</p> <toc-add-entry name=mirror>Wieso gibt es keine offiziellen Spiegel-Server für security.debian.org?</toc-add-entry> <p>A: Tatsächlich gibt es diese. Es existieren mehrere offizielle Spiegel, die - über <acronym lang="en" title="Domain Name System">DNS</acronym>-Aliase + als <acronym lang="en" title="Domain Name System">DNS</acronym>-Alias implementiert sind. Der Zweck von security.debian.org besteht darin, Sicherheitsaktualisierungen so schnell und einfach wie möglich zur Verfügung zu stellen.</p> -<p>Die Verwendung von inoffiziellen Spiegeln zu empfehlen, würde zusätzliche - Komplexität hinzufügen, die üblicherweise nicht benötigt wird und +<p>Die Empfehlung, inoffizielle Spiegel zu verwenden, würde zusätzliche + Komplexität hinzufügen, was normalerweise unnötig ist und frustrierend sein kann, falls diese Spiegel nicht aktuell gehalten werden.</p> @@ -205,17 +205,18 @@ die Antworten dazu hier zusammengefasst.</p> DSA 101?</toc-add-entry> <p>A: Einige Distributoren (hauptsächlich von GNU/Linux, aber auch von BSD-Derivaten) - koordinieren Sicherheitsankündigungen für einige Vorfälle und stimmen einer - gemeinsamen Zeitlinie zu, damit alle Distributoren die Möglichkeit haben, + koordinieren Sicherheitsankündigungen für einige Vorfälle und stimmen + miteinander eine gemeinsame Zeitlinie ab, damit alle Distributoren die + Möglichkeit haben, eine Ankündigung zur gleichen Zeit zu veröffentlichen. Dadurch soll verhindert werden, dass ein Distributor diskriminiert wird, der mehr Zeit benötigt (z.B. falls der Hersteller längere Qualitätssicherungs-Tests für die Pakete durchführt, oder mehrere Architekturen bzw. Binär-Distributionen unterstützt). Unser - eigenes Sicherheitsteam bereitet ebenfalls Ankündigungen im Vorhinein vor. + eigenes Sicherheitsteam bereitet ebenfalls Ankündigungen im Vornherein vor. Es passiert immer wieder mal, dass andere Sicherheitsankündigungen früher abgearbeitet werden müssen, als vorbereitete Ankündigungen veröffentlicht werden - können, und daher wird temporär eines oder mehrere Ankündigungen der Nummer + können, und daher wird temporär eine oder mehrere Ankündigungen der Nummer nach ausgelassen.</p> @@ -225,12 +226,6 @@ die Antworten dazu hier zusammengefasst.</p> team@security.debian.org geschickt werden, unter beiden Adressen erreichen Sie die Mitglieder des Sicherheitsteams.</p> -<p>Wenn Sie Paketbetreuer sind und uns bezüglich eines Problems in einem - Ihrer Pakete kontaktieren möchten, erzeugen Sie bitte - <a href="https://wiki.debian.org/rt.debian.org#Security_Team">ein Ticket - in unserem Request Tracker</a>. Falls Sie PGP-Verschlüsselung verwenden - möchten, ist es jedoch besser, eine reguläre E-Mail zu nutzen.</p> - <p>Falls gewünscht, können die E-Mails mit dem Debian-Sicherheitskontakt-Schlüssel (Schlüssel-ID <a href="http://pgp.surfnet.nl/pks/lookup?op=vindex&search=0xBACB4B5C30AC38F319EE961E2702CAEB90F8EEC5">\ @@ -241,19 +236,21 @@ die Antworten dazu hier zusammengefasst.</p> <toc-add-entry name=discover>Ich glaube, ich habe ein Sicherheitsproblem entdeckt, was soll ich tun?</toc-add-entry> -<p>A: Wenn Sie von einem Sicherheitsproblem erfahren, entweder in Ihren eigenen - Paketen oder in denen eines anderen Entwicklers, dann kontaktieren Sie bitte - immer das Sicherheitsteam. Wenn das Debian-Sicherheitsteam die +<p>A: Wenn Sie von einem Sicherheitsproblem erfahren, entweder in einem + Ihrer eigenen Pakete oder in dem eines anderen Entwicklers, dann + kontaktieren Sie bitte auf jeden Fall + das Sicherheitsteam. Wenn das Debian-Sicherheitsteam die Verwundbarkeit bestätigt und andere Distributoren höchstwahrscheinlich - ebenfalls davon betroffen sind, kontaktiert es diese üblicherweise auch. + ebenfalls davon betroffen sind, wird es diese üblicherweise auch + kontaktieren. Wenn die Verwundbarkeit noch nicht öffentlich bekannt ist, wird es versuchen, die Sicherheitsankündigungen mit den anderen Distributoren zu koordinieren, damit alle Haupt-Distributionen synchron sind.</p> <p>Falls die Verwundbarkeit bereits öffentlich bekannt ist, schreiben Sie - bitte unbedingt einen Fehlerbericht für das - Debian-Fehlerverfolgungssystem und markieren Sie ihn mit dem Tag + bitte unbedingt einen Fehlerbericht für die + Debian-Fehlerdatenbank und markieren Sie ihn mit dem Tag <q>security</q>.</p> <p>Falls Sie ein Debian-Entwickler sind, <a href="#care">lesen Sie unten @@ -263,11 +260,9 @@ die Antworten dazu hier zusammengefasst.</p> <toc-add-entry name=care>Was soll ich bei einem Sicherheitsproblem in einem meiner Pakete tun?</toc-add-entry> <p>A: Wenn Sie von einem Sicherheitsproblem erfahren, sei es - in einem Ihrer Pakete oder in dem eines anderen, - kontaktieren Sie bitte immer das Sicherheitsteam, vorzugsweise - indem Sie ein Ticket im Request Tracker erzeugen. Sie können das Team - aber auch per E-Mail an team@security.debian.org erreichen. Die - Mitglieder des Teams + in einem Ihrer Pakete oder in dem eines anderen Entwicklers, + kontaktieren Sie bitte auf jeden Fall das Sicherheitsteam per E-Mail unter + team@security.debian.org. Die Mitglieder des Teams behalten die Übersicht über offene Sicherheitsprobleme, können den Betreuern mit Sicherheitsproblemen helfen oder die Probleme selbst beheben und sind verantwortlich für das Versenden der Sicherheitsankündigungen und die @@ -283,48 +278,36 @@ die Antworten dazu hier zusammengefasst.</p> <toc-add-entry name=enofile>Ich habe versucht, ein Paket herunterzuladen, das - in einem der Sicherheitsankündigungen aufgeführt war, aber ich bekomme dabei + in einer der Sicherheitsankündigungen aufgeführt war, aber ich bekomme dabei einen <q>file not found</q>-Fehler.</toc-add-entry> -<p>A: Immer, wenn eine neuere Fehlerbehebung ein älteres Paket auf +<p>A: Immer, wenn eine neuere Fehlerkorrektur ein älteres Paket auf security.debian.org ersetzt, stehen die Chancen gut, dass das ältere Paket gelöscht wird, wenn das neue installiert wird. Daher erhalten Sie diesen <q>file not found</q>-Fehler. Wir wollen Pakete mit bekannten Sicherheitslücken nicht länger als absolut notwendig verbreiten.</p> -<p>Bitte benutzen Sie die Pakete von den neuesten Sicherheitsankündigungen, die +<p>Bitte benutzen Sie die Pakete aus den neuesten Sicherheitsankündigungen, die über die <a href="https://lists.debian.org/debian-security-announce/">\ - debian-security-announce</a> Mailingliste verteilt werden. Am besten rufen + debian-security-announce</a>-Mailingliste verteilt werden. Am besten rufen Sie einfach <code>apt-get update</code> auf, bevor Sie das Paket aktualisieren.</p> -<toc-add-entry name=upload>Ich habe eine Fehlerbehebung, kann ich direkt auf +<toc-add-entry name=upload>Ich habe eine Fehlerkorrektur, kann ich direkt auf security.debian.org hochladen?</toc-add-entry> <p>A: Nein, können Sie nicht. Das Archiv auf security.debian.org wird vom Sicherheitsteam betreut, das alle Pakete genehmigen muss. Sie sollten - stattdessen Patches oder passende Quellcode-Pakete an das Sicherheitsteam - schicken, entweder über den Request Tracker oder via - team@security.debian.org. Diese werden dann vom - Sicherheitsteam überprüft und gegebenenfalls hochgeladen, entweder mit - oder ohne Änderungen.</p> - -<p>Wenn Sie nicht mit Sicherheits-Uploads vertraut sind und sich nicht 100% - sicher sind, dass Ihr Paket sauber ist, verwenden Sie bitte diesen Weg und - laden Sie Ihr Paket nicht in das incoming-Verzeichnis hoch. Das - Sicherheitsteam hat nur beschränkte Möglichkeiten, mit kaputten Paketen - umzugehen, speziell wenn diese keine saubere Versionsnummer haben. Pakete - können zurzeit nicht zurückgewiesen werden, und der - <acronym lang="en" title="Build Daemon">buildd</acronym> wäre irritiert, - wenn es möglich wäre. Daher sollten Sie bitte eine E-Mail schicken und helfen, - indem Sie dem Sicherheitsteam keine zusätzlichen Schmerzen - verursachen.</p> + stattdessen Patches oder passende Quellcode-Pakete via + team@security.debian.org an das Sicherheitsteam schicken. Diese werden dann + vom Sicherheitsteam überprüft und gegebenenfalls hochgeladen, entweder mit + oder ohne weitere Änderungen.</p> <p>Die <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\ Entwicklerreferenz</a> enthält vollständige Informationen darüber, was zu tun ist.</p> -<toc-add-entry name=ppu>Ich habe eine Fehlerbehebung, kann ich diese +<toc-add-entry name=ppu>Ich habe eine Fehlerkorrektur, kann ich diese stattdessen nach proposed-updates hochladen?</toc-add-entry> <p>A: Technisch gesehen können Sie es. Jedoch sollten Sie es nicht tun, da dies böse mit der Arbeit des Sicherheitsteams kollidieren kann. Pakete von @@ -333,10 +316,11 @@ die Antworten dazu hier zusammengefasst.</p> bereits in das Archiv eingespielt wurde, wird die Sicherheitsaktualisierung vom Archiv-System zurückgewiesen. Auf diese Art wird die Stable-Distribution die Sicherheitsaktualisierung für dieses Paket nicht - enthalten, außer, falls das <q>falsche</q> Paket im proposed-updates - Verzeichnis zurückgewiesen wurde. Bitte kontaktieren Sie stattdessen das + enthalten, außer wenn das <q>falsche</q> Paket im + proposed-updates-Verzeichnis zurückgewiesen wurde. Bitte kontaktieren Sie + stattdessen das Sicherheitsteam: Fügen Sie alle - Details über die Verwundbarkeit bei und hängen die Quelldateien (d.h. + Details über die Verwundbarkeit bei und hängen Sie die Quelldateien (d.h. diff.gz- und dsc-Dateien) an die E-Mail an.</p> <p>Die <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\ @@ -347,10 +331,10 @@ die Antworten dazu hier zusammengefasst.</p> <toc-add-entry name=SecurityUploadQueue>Ich bin ziemlich sicher, dass meine Pakete in Ordnung sind, wie kann ich sie hochladen?</toc-add-entry> <p>A: Wenn Sie sich sehr sicher sind, dass ihre Pakete nichts zerstören, dass - die Version sauber ist (z.B. größer als die Version in Stable und kleiner + die Versionsnummer sauber ist (z.B. größer als die Version in Stable und kleiner als die Version in Testing/Unstable), dass Sie kein Verhalten des Pakets geändert haben, trotz des entsprechenden Sicherheitsproblems, dass Sie es - für die richtige Distribution übersetzt haben (das ist + für die richtige Distribution übersetzt haben (also <code>oldstable-security</code> oder <code>stable-security</code>), dass das Paket den ursprünglichen Quellcode enthält, falls das Paket neu auf security.debian.org ist, dass Sie bestätigen können, dass der Patch gegen @@ -358,10 +342,10 @@ die Antworten dazu hier zusammengefasst.</p> Sicherheitsproblem betrifft (prüfen Sie mit <code>interdiff -z</code> und beiden <code>.diff.gz</code>-Dateien), dass Sie den Patch zumindest dreimal Korrektur gelesen haben, und dass <code>debdiff</code> keine - Änderungen anzeigt, dürfen Sie die Dateien in das incoming-Verzeichnis - <code>ftp://security-master.debian.org/pub/SecurityUploadQueue</code> auf security.debian.org - direkt hochladen. Bitte senden Sie auch eine Benachrichtigung mit allen - Details und Links an team@security.debian.org.</p> + Änderungen anzeigt, dürfen Sie die Dateien direkt in das incoming-Verzeichnis + <code>ftp://security-master.debian.org/pub/SecurityUploadQueue</code> + auf security.debian.org hochladen. Bitte senden Sie auch eine + Benachrichtigung mit allen Details und Links an team@security.debian.org.</p> <toc-add-entry name=help>Wie kann ich bei der Sicherheit helfen?</toc-add-entry> <p>A: Bitte prüfen Sie jedes Problem nach, bevor Sie es an security@debian.org @@ -378,17 +362,17 @@ die Antworten dazu hier zusammengefasst.</p> <toc-add-entry name=proposed-updates>Was umfasst proposed-updates?</toc-add-entry> -<p>A: Dieses Verzeichnis beinhaltet Pakete, die für die nächste Revision von +<p>A: Dieses Verzeichnis beinhaltet Pakete, die für die nächste Aktualisierung von Debian Stable vorgeschlagen sind. Wann immer ein Paket von einem Paketbetreuer für die Stable-Distribution hochgeladen wird, werden diese im proposed-updates Verzeichnis abgelegt. Da Stable dafür gedacht ist, stabil zu sein, werden keine automatischen Aktualisierungen durchgeführt. Das - Sicherheitsteam wird reparierte Pakete aus ihren Sicherheitsankündigungen für + Sicherheitsteam wird korrigierte Pakete aus ihren Sicherheitsankündigungen für Stable hochladen, jedoch werden diese zuerst in proposed-updates abgelegt. Alle paar Monate prüft der Stable-Release-Manager die Liste der Pakete in proposed-updates und diskutiert, ob ein Paket für Stable geeignet ist oder nicht. Daraus wird eine neue Zwischenveröffentlichung von Stable zusammengestellt - (z.B. 2.2r3 oder 2.2r4). Pakete, die nicht passen, werden wahrscheinlich + (z.B. 7.4 oder 7.6). Pakete, die nicht passen, werden wahrscheinlich von proposed-updates ebenfalls zurückgewiesen.</p> <p>Beachten Sie, dass vom Paketbetreuer (nicht vom Sicherheitsteam) @@ -416,7 +400,7 @@ die Antworten dazu hier zusammengefasst.</p> <p>A: Dieser Prozess umfasst das Prüfen der Release-Datei-Signatur gegen den <a href="https://ftp-master.debian.org/keys.html">öffentlichen Schlüssel</a>, der für die Archive verwendet wird. Die Release-Datei - enthält die Prüfsummen der Packages- und Sources-Dateien, die + enthält Prüfsummen der Packages- und Sources-Dateien, die wiederum Prüfsummen der Binär- und Quellcodepakete enthalten. Ausführlichere Anweisungen, wie man die Paket-Integrität prüfen kann, können im <a href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\ @@ -432,6 +416,46 @@ die Antworten dazu hier zusammengefasst.</p> weniger schwerwiegend ist. Es geht hier um zufällige Pakete, die nach der Aktualisierung eines anderen Paketes nicht mehr funktionieren. Wenn Sie nicht herausfinden - können, was schief geht, aber eine Lösung gefunden haben, + können, was schief läuft, aber eine Lösung gefunden haben, wenden Sie sich auch an das Sicherheitsteam. Es könnte jedoch sein, - dass man Sie an den Stable-Release-Betreuer weiterleitet.</p> + dass man Sie an den Stable-Release-Manager weiterleitet.</p> + + +<toc-add-entry name=cvewhat>Was ist ein CVE-Identifier?</toc-add-entry> +<p>A: Das <q>Common Vulnerabilities and Exposures</q>-Projekt + weisst spezifischen Verwundbarkeiten eindeutige Bezeichner, sogenannte + CVE-Identifier zu, um den Verweis auf spezielle Sicherheitsprobleme + zu vereinfachen. Weitere Informationen finden Sie in der <a + href="http://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures">\ + Wikipedia</a>.</p> + + +<toc-add-entry name=cvedsa>Gibt Debian für jede CVE-ID eine + Sicherheitsankündigung (DSA) heraus?</toc-add-entry> +<p>A: Debians Sicherheitsteam verfolgt jede veröffentlichte CVE-ID, + verbindet sie mit dem relevanten Debian-Paket und beurteilt ihren + Einfluß in Bezug auf Debian - die Tatsache, dass für irgendetwas eine + CVE-ID herausgegeben wurde, impliziert nicht zwingend, dass dies + eine ernsthafte Bedrohung für ein Debian-System darstellt. + Diese Informationen werden im <a + href="https://security-tracker.debian.org">Debian Sicherheits-Tracker</a> + festgehalten und für die Probleme, die für Debian als bedrohlich + betrachtet werden, werden Sicherheitsankündigungen veröffentlicht.</p> + +<p>Probleme mit geringen Auswirkungen, die keine DSA erforderlich machen, + können in der nächsten Debian-Veröffentlichung oder in einer + Zwischenveröffentlichung der aktuellen Stable- bzw. Oldstable-Distribution + behoben werden oder sie werden in eine DSA integriert, die wegen + gravierenderen Verwundbarkeiten herausgebracht wird.</p> + + +<toc-add-entry name=cveget>Kann Debian CVE-Identifier vergeben?</toc-add-entry> +<p>A: Debian hat den Status einer CVE Numbering Authority und kann CVE-IDs + vergeben, aber gemäß CVE-Richtlinie nur für noch geheim gehaltene + Sicherheitsprobleme. Falls Sie Kenntnis von einer noch unveröffentlichten + Sicherheitslücke bei einer Software in Debian haben und eine CVE-ID + dafür bekommen möchten, kontaktieren Sie das Debian Sicherheitsteam. + Für Fälle, bei denen das Problem bereits öffentlich ist, empfehlen wir, + dem unter <a + href="http://people.redhat.com/kseifrie/CVE-OpenSource-Request-HOWTO.html">\ + CVE OpenSource Request HOWTO</a> beschriebenen Prozedere zu folgen.</p> |