diff options
| author | Luca Monducci <luca.mo@tiscali.it> | 2019-01-05 17:27:28 +0100 |
|---|---|---|
| committer | Luca Monducci <luca.mo@tiscali.it> | 2019-01-05 17:27:28 +0100 |
| commit | 9409e09645a2aa4dd4b1d9a185fb2101b4fd30c5 (patch) | |
| tree | 3202fa57bd934024e4c33d23c9e40d204ce24c64 /italian | |
| parent | 986aad0670ab2f7240c02f471437598bd4dfdf11 (diff) | |
sync translation
Diffstat (limited to 'italian')
| -rw-r--r-- | italian/security/faq.wml | 326 |
1 files changed, 184 insertions, 142 deletions
diff --git a/italian/security/faq.wml b/italian/security/faq.wml index 31288b090fd..4aa3e155f85 100644 --- a/italian/security/faq.wml +++ b/italian/security/faq.wml @@ -1,35 +1,58 @@ #use wml::debian::template title="FAQ Debian sulla sicurezza" #include "$(ENGLISHDIR)/security/faq.inc" -# $Id$ #use wml::debian::translation-check translation="5bfeb5677d7c5785441fadaddd2ad122b48007ae" maintainer="skizzhg" -<p>Riceviamo forse troppo spesso le seguenti domande, quindi abbiamo riassunto - qui le relative risposte.</p> <maketoc> +<toc-add-entry name=buthow>Ho ricevuto un DSA da debian-security-announce, + come posso aggiornare i pacchetti vulnerabili?</toc-add-entry> + +<p>R: Come indicato nel DSA, è opportuno aggiornare i pacchetti afflitti + dalla vulnerabilità. Per farlo è sufficiente aggiornare (dopo aver + rinfrescato l'elenco dei pacchetti disponibili con <tt>apt-get update</tt>) + ogni pacchetto installato nel proprio sistema con <tt>apt-get upgrade</tt> + oppure aggiornando un pacchetto in particolare con <tt>apt-get install + <i>pacchetto</i></tt>.</p> + +<p>Nella email con l'annuncio è menzionato il pacchetto sorgente in cui + era presente la vulnerabilità. Di conseguenza si dovrebbe aggiornare + tutti i pacchetti binari creati da quel pacchetto sorgente. Per + verificare quali sono i pacchetti binari da aggiornare visitare + <tt>https://packages.debian.org/src:<i>nome-pacchetto-sorgente</i></tt> + e fare clic su <i>[show ... binary packages]</i> per la distribuzione + che si sta aggiornando.</p> + +<p>Potrebbe essere necessario riavviare un servizio oppure un processo + in esecuzione. Il comando <a + href="https://manpages.debian.org/checkrestart"><tt>checkrestart</tt></a> + contenuto nel pacchetto <a + href="https://packages.debian.org/debian-goodies">debian-goodies</a> + può essere utile per determinare quali.</p> + <toc-add-entry name=signature>La firma degli annunci non è correttamente verificata!</toc-add-entry> <p>R: Molto probabilmente è un problema dal vostro lato. La lista - <a href="https://lists.debian.org/debian-security-announce/">\ - debian-security-announce</a> + <a href="https://lists.debian.org/debian-security-announce/">debian-security-announce</a> ha un filtro che accetta solo messaggi con una firma corretta proveniente da un iscritto al team della sicurezza.</p> <p>È probabile che uno dei programmi utilizzati per la posta abbia cambiato leggermente il messaggio e quindi la firma. Verificate che il - vostro programma non tocchi la codifica MIME del messaggio o cambi tab e spazi.</p> + vostro programma non tocchi la codifica MIME del messaggio o cambi tab + e spazi.</p> -<p>Problemi si sono verificati con fetchmail (con l'opzione mimedecode abilitata), - formail (solo la versione di procmail 3.14.) ed evolution.</p> +<p>Problemi si sono verificati con fetchmail (con l'opzione mimedecode + abilitata), formail (solo la versione di procmail 3.14.) ed evolution.</p> -<toc-add-entry name=handling>Come è gestita la sicurezza in Debian?</toc-add-entry> +<toc-add-entry name=handling>Come è gestita la sicurezza in + Debian?</toc-add-entry> <p>R: Una volta che il team riceve una notifica di un incidente, uno o più membri prendono in carico la segnalazione e valutano - l'impatto sulla distribuzione "stable" di Debian (vale a dire + l'impatto sulla distribuzione <q>stable</q> di Debian (vale a dire cercano di capire se Debian sia o meno vulnerabile). Se il nostro sistema è vulnerabile allora lavoriamo ad una soluzione che lo risolva. Se non si è attivato da solo allora il @@ -67,41 +90,6 @@ concordato con il team della sicurezza.</p> -<toc-add-entry name=policy>Qual è la procedura perché un - nuovo pacchetto appaia in security.debian.org?</toc-add-entry> - -<p>R: Tutti i problemi di sicurezza della distribuzione - "stable" fanno allertare security.debian.org. Qualsiasi altro - problema non ha lo stesso effetto. - La dimensione del problema non è realmente importante qui. - Normalmente il team della sicurezza preparerà i pacchetti - assieme al manutentore originale. Trovato qualcuno (affidabile) che - segua il problema, lo comprenda, ricompili tutti i pacchetti necessari - e li spedisca al team della sicurezza, allora anche le più - banali soluzioni a problemi di sicurezza saranno pubblicate su - security.debian.org. Vedere più avanti.</p> - -<p>Gli aggiornamenti per la sicurezza hanno un unico scopo: fornire una - soluzione per una vulnerabilità nella sicurezza. Non sono un - metodo per insinuare cambiamenti nella versione "stable" senza - passare attraverso le normali procedure.</p> - - -<toc-add-entry name=localremote>Che significa <q>local (remote)</q>?</toc-add-entry> - -<p>R: Alcuni avvisi riguardano vulnerabilità che non possono - essere identificate con il classico schema di exploit locale e remoto. - Alcune vulnerabilità non possono essere sfruttate da remoto, in - altre parole non corrispondono ad un demone in ascolto su una porta di rete. - Nel caso possano essere sfruttate da file speciali forniti - eventualmente via rete anche se il servizio vulnerabile non è connesso - permanentemente in rete, lo descriveremo come <q>local (remote)</q>.</p> - -<p>Tali vulnerabilità sono a metà strada tra le locali e le remote - e spesso coprono archivi che possono essere forniti attraverso la - rete, come allegati di posta o da una pagina di download.</p> - - <toc-add-entry name=version>La versione del pacchetto indica che io sto utilizzando una versione vulnerabile!</toc-add-entry> @@ -131,37 +119,35 @@ pacchetti per i386 o amd64.</p> -<toc-add-entry name=unstable>Come è gestita la sicurezza per <tt>unstable</tt>?</toc-add-entry> +<toc-add-entry name=unstable>Come è gestita la sicurezza per + <tt>unstable</tt>?</toc-add-entry> -<p>R: La risposta breve è: non lo è. Unstable cambia troppo - velocemente e il team della sicurezza non ha risorse sufficienti per - gestire correttamente la cosa. Se si vuole un server sicuro (e stabile) - invitiamo caldamente ad utilizzare la versione stable.</p> +<p>R: La sicurezza per unstable è principalmente gestita dai curatori dei + pacchetti, non dal Debian Security Team. Nel caso i curatori siano + inattivi il team della sicurezza potrebbero inviare delle correzioni + <em>high-urgency security-only</em>, in ogni caso il supporto per il + rilascio stabile ha sempre la priorità. Se si vuole un server sicuro + (e stabile) invitiamo caldamente a utilizzare la versione stable.</p> -<toc-add-entry name=testing>Come è gestita la sicurezza per <tt>testing</tt>?</toc-add-entry> +<toc-add-entry name=testing>Come è gestita la sicurezza per + <tt>testing</tt>?</toc-add-entry> -<p>R: Se si desidera avere un server sicuro (e stabile) invitiamo - caldamente ad utilizzare la versione stable. Comunque c'è un - supporto di sicurezza per testing: il Debian testing security team gestisce - i problemi per testing. Essi si assicurano che i pacchetti che - risolvono problemi di sicurezza passino in testing per la via ordinaria - della migrazione da unstable (con una quarantena ridotta) oppure, se - la via ordinaria richiedesse troppo tempo, li rendono disponibili - mediante l'infrastruttura - <a href="http://security.debian.org">http://security.debian.org</a>. - Per utilizzarli si aggiunga la seguente riga in <code>/etc/apt/sources.list</code>:</p> - <p><code>deb http://security.debian.org <codename>/updates main</code></p> - <p>e si esegua <code>apt-get update && apt-get upgrade</code> come al solito.</p> - <p>Si noti che non vi è garanzia che tutti i bachi di sicurezza - conosciuti siano risolti in testing! Qualche pacchetto aggiornato - potrebbe essere in attesa per la transizione a testing. Ulteriori - informazioni sull'infrastruttura di sicurezza per testing possono essere trovate a <a - href="http://secure-testing-master.debian.net/">http://secure-testing-master.debian.net/</a>.</p> +<p>R: La sicurezza per testing beneficia del lavoro fatto dall'intero + progetto per unstable; c'è comunque un ritardo che al minimo è di due + giorni e alcune volte le correzioni di sicurezza sono bloccate a causa + delle transizioni. Il Security Team aiuta a sbloccare le transizioni + che tengono fermi delle importanti correzioni per la sicurezza, + tuttavia ciò non è sempre possibile e si possono verificare dei + ritardi. In particolare nei mesi successivi a un nuovo rilascio + stabile, quando in unstable arrivano molte nuove versioni, le + correzioni di sicurezza possono avere ritardi. Se si desidera avere un + server sicuro (e stabile) invitiamo caldamente ad utilizzare la + versione stable.</p> <toc-add-entry name=contrib>Come è gestita la sicurezza per -<tt>contrib</tt> e <tt>non-free</tt>?</toc-add-entry> + <tt>contrib</tt> e <tt>non-free</tt>?</toc-add-entry> <p>R: La risposta breve è: non lo è. Contrib e non-free non sono parti ufficiali della distribuzione Debian e per questo non sono @@ -182,7 +168,9 @@ problema. Qualche volta il maintainer ha nel frattempo caricato nuove versioni. Si confronti la versione in unstable con quella da noi indicata. Se è la stessa o superiore si dovrebbe essere al sicuro - dalla vulnerabilità.</p> + dalla vulnerabilità. Per essere sicuri controllare il changelog del + pacchetto con <tt>apt-get changelog nome-pacchetto</tt> e cercare + una voce che annuncia la correzione.</p> <toc-add-entry name=mirror>Perché non ci sono mirror ufficiali di @@ -201,7 +189,7 @@ <toc-add-entry name=missing>Ho visto DSA 100 e DSA 102. Dov'è il DSA 101?</toc-add-entry> <p>R: Alcuni venditori (la maggior parte di GNU/Linux, ma anche di - derivati BSD) coordinano a volte i "Security Advisor" + derivati BSD) coordinano a volte i <q>Security Advisor</q> stabilendo delle date affinché tutti i venditori possano rilasciare l'annuncio contemporaneamente. Questo è stato fatto per non discriminare i venditori che richiedono più tempo (in altre @@ -221,23 +209,15 @@ membri del team sicurezza. </p> -<p>Se si è il manutentore di un pacchetto e si desidera contattarci - riguardo un problema, si prega di - <a href="https://wiki.debian.org/rt.debian.org#Security_Team">inviare un - ticket al nostro Request Tracker</a>. - Se però si preferisce utilizzare la crittografia PGP è meglio la - consueta posta elettronica. -</p> - -<p>Volendo l'e-mail può essere crittata con la chiave Debian Security - Contact (key ID <a - href="http://pgp.surfnet.nl/pks/lookup?op=vindex&search=0x0D59D2B15144766A14D241C66BAF400B05C3E651">\ - 0x0D59D2B15144766A14D241C66BAF400B05C3E651</a>). Per le chiavi PGP/GPG personali di membri del team members, si usi - il keyserver <a href="https://keyring.debian.org/">keyring.debian.org</a> .</p> +<p>Chi vuole può crittare l'e-mail con la chiave Debian Security Contact + (key ID <a + href="http://pgp.surfnet.nl/pks/lookup?op=vindex&search=0x0D59D2B15144766A14D241C66BAF400B05C3E651">0x0D59D2B15144766A14D241C66BAF400B05C3E651</a>). + Per le chiavi PGP/GPG personali di membri del team members, si usi il + keyserver <a href="https://keyring.debian.org/">keyring.debian.org</a>.</p> <toc-add-entry name=discover>Suppongo di aver trovato un problema di -sicurezza, cosa dovrei fare?</toc-add-entry> + sicurezza, cosa dovrei fare?</toc-add-entry> <p>R: Se si scopre qualche problema di sicurezza, sia in un proprio pacchetto che in quello di altre persone, contattare il team sicurezza. Se @@ -245,53 +225,52 @@ sicurezza, cosa dovrei fare?</toc-add-entry> la possibilità che anche altri venditori siano vulnerabili, il team di solito contatta anche gli altri venditori. Se la vulnerabilità non è ancora pubblica il team cerca - di coordinare i "security advisory" con gli altri venditori, + di coordinare i <q>security advisory</q> con gli altri venditori, per mantenere le maggiori distribuzioni sincronizzate.</p> -<p>Se la vulnerabilità è già pubblicamente nota, - assicurarsi di aprire un bug report nel Debian BTS, con il tag <q>security</q>.</p> +<p>Se la vulnerabilità è già pubblicamente nota, assicurarsi di aprire un + bug report nel Debian BTS, con il tag <q>security</q>.</p> <p>Se si è un manutentore Debian, <a href="#care">leggere sotto</a>.</p> -<toc-add-entry name=care>Cosa dovrei fare con un problema di sicurezza in uno dei - miei pacchetti?</toc-add-entry> +<toc-add-entry name=care>Cosa dovrei fare con un problema di sicurezza + in uno dei miei pacchetti?</toc-add-entry> -<p>R: Se si scopre un problema di sicurezza in un pacchetto, sia proprio che di - altre persone, contattare il team sicurezza, preferibilmente aprendo - un ticket sul Request Tracker, o tramite posta elettronica - all'indirizzo team@security.debian.org. I membri del team tengono - traccia dei problemi di sicurezza irrisolti, possono aiutare i - manutentori con problemi di sicurezza o risolverli essi stessi, sono - responsabili dell'emissione dei "security advisory" e curano - security.debian.org. +<p>R: Se si scopre un problema di sicurezza in un pacchetto, sia proprio + che di altre persone, contattare il team sicurezza tramite posta + elettronica all'indirizzo team@security.debian.org. I membri del + team tengono traccia dei problemi di sicurezza irrisolti, possono + aiutare i manutentori con problemi di sicurezza o risolverli essi + stessi, sono responsabili dell'emissione dei <q>security advisory</q> + e curano security.debian.org.</p> -<p>La <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\ - Developer's Reference</a> contiene le istruzioni complete su cosa fare.</p> +<p>La <a href="$(DOC)/developers-reference/pkgs.html#bug-security">Developer's + Reference</a> contiene le istruzioni complete su cosa fare.</p> <p>È particolarmente importante che non si carichi verso qualsiasi - distribuzione che non sia "unstable" senza un accordo preventivo con - il team sicurezza, perché bypassarlo causerebbe confusione e maggior - lavoro.</p> + distribuzione che non sia <q>unstable</q> senza un accordo + preventivo con il team sicurezza, perché bypassarlo causerebbe + confusione e maggior lavoro.</p> <toc-add-entry name=enofile>Ho provato a scaricare un pacchetto elencato -in uno dei "Security Advisor" ma ho avuto un errore "file -not found".</toc-add-entry> + in uno dei <q>Security Advisor</q> ma ho avuto un errore <q>file + not found</q>.</toc-add-entry> -<p>R: Tutte le volte che un "bugfix" più nuovo +<p>R: Tutte le volte che un <q>bugfix</q> più nuovo sostituisce un pacchetto più vecchio su security.debian.org, ci sono alte probabilità che il vecchio pacchetto sia stato rimosso quando quello nuovo è stato installato. Da quel momento - si avrà l'errore "file not found". Non vogliamo + si avrà l'errore <q>file not found</q>. Non vogliamo distribuire pacchetti con bug di sicurezza conosciuti più a lungo di quanto sia assolutamente necessario.</p> -<p>Bisogna usare i pacchetti elencati negli ultimi "security - advisor", che sono distribuiti tramite la mailing list <a - href="https://lists.debian.org/debian-security-announce/">\ - debian-security-announce</a>. La cosa migliore è semplicemente - eseguire <code>apt-get update</code> prima aggiornare il pacchetto.</p> +<p>Bisogna usare i pacchetti elencati negli ultimi <q>security + advisor</q>, che sono distribuiti tramite la mailing list <a + href="https://lists.debian.org/debian-security-announce/">debian-security-announce</a>. + La cosa migliore è semplicemente eseguire <code>apt-get update</code> + prima aggiornare il pacchetto.</p> <toc-add-entry name=upload>Ho trovato la soluzione ad un problema, posso @@ -299,9 +278,9 @@ not found".</toc-add-entry> <p>R: No, non è possibile. L'archivio a security.debian.org è mantenuto dal team sicurezza, che deve approvare tutti i - pacchetti. È necessario inviare le "patch" o il - codice sorgente modificato al team sicurezza, tramite il Request - Tracker o l'indirizzo team@security.debian.org. Saranno controllati + pacchetti. È necessario inviare le <q>patch</q> o il + codice sorgente modificato al team sicurezza tramite + l'indirizzo team@security.debian.org. Saranno controllati dal team sicurezza ed eventualmente caricati, con o senza modifiche.</p> @@ -315,28 +294,30 @@ not found".</toc-add-entry> posta elettronica e si aiuti non aggiungendo complicazioni al lavoro del team sicurezza.</p> -<p>La <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\ - Developer's Reference</a> contiene le istruzioni complete su cosa fare.</p> +<p>La <a + href="$(DOC)/developers-reference/pkgs.html#bug-security">Developer's + Reference</a> contiene le istruzioni complete su cosa fare.</p> <toc-add-entry name=ppu>Ho trovato la soluzione ad un problema, posso -caricarlo invece su "proposed-updates"?</toc-add-entry> + caricarlo invece su <q>proposed-updates</q>?</toc-add-entry> <p>R: Dal punto di vista tecnico, sì. Comunque, non si dovrebbe farlo, visto che ciò interferisce pesantemente con il lavoro del team sicurezza. I pacchetti sono copiati da security.debian.org nella directory - "proposed-updates" automaticamente. Se un pacchetto con un numero + <q>proposed-updates</q> automaticamente. Se un pacchetto con un numero di versione uguale o superiore è già installato nell'archivio, l'aggiornamento di sicurezza sarà rifiutato dal sistema di - archiviazione. In tal caso, la distribuzione "stable" + archiviazione. In tal caso, la distribuzione <q>stable</q> sarà preparata senza l'aggiornamento di sicurezza di quel pacchetto, a meno che i pacchetti <q>sbagliati</q> nella directory proposed-updates non siano stati rifiutati. Si contatti invece il team sicurezza includendo tutti i dettagli sulla vulnerabilità ed allegando i file sorgente (cioè i file diff.gz e dsc) all'e-mail.</p> -<p>La <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\ - Developer's Reference</a> contiene le istruzioni complete su cosa fare.</p> +<p>La <a + href="$(DOC)/developers-reference/pkgs.html#bug-security">Developer's + Reference</a> contiene le istruzioni complete su cosa fare.</p> <toc-add-entry name=SecurityUploadQueue>Sono sicurissimo che il mio @@ -344,16 +325,16 @@ caricarlo invece su "proposed-updates"?</toc-add-entry> <p>R: Se si è veramente sicuri che il pacchetto non danneggi nulla, che sia la versione sia giusta (cioè maggiore della - versione in "stable" e minore della versione in - "testing"/"unstable"), che non sia cambiato il + versione in <q>stable</q> e minore della versione in + <q>testing</q>/<q>unstable</q>), che non sia cambiato il funzionamento del pacchetto nonostante sia stato corretto il problema di sicurezza, che sia stato compilato per la corretta distribuzione (che è <code>oldstable-security</code> o <code>stable-security</code>), che il pacchetto contenga il sorgente originale se è nuovo in - security.debian.org, che la "patch" sia valida + security.debian.org, che la <q>patch</q> sia valida per la versione più recente e che essa riguardi solo il relativo problema di sicurezza (controllare con <code>interdiff -z</code> i - file <code>.diff.gz</code>), che la "patch" sia stata + file <code>.diff.gz</code>), che la <q>patch</q> sia stata controllata almeno tre volte e che <code>debdiff</code> non mostri alcun cambiamento, allora è possibile caricare i file nella directory incoming @@ -365,7 +346,7 @@ caricarlo invece su "proposed-updates"?</toc-add-entry> <toc-add-entry name=help>Come posso aiutare?</toc-add-entry> <p>R: Controllando bene ogni problema prima di inviarlo a security@debian.org. - Se si è capaci di fornire delle "patch" allora questo + Se si è capaci di fornire delle <q>patch</q> allora questo accelererebbe il processo. Non limitarsi ad inoltrare messaggi su come verificare la presenza del problema perché noi li riceviamo già; cercare invece di aggiungere tutte le informazioni possibili.</p> @@ -378,18 +359,18 @@ caricarlo invece su "proposed-updates"?</toc-add-entry> <toc-add-entry name=proposed-updates>Qual è lo scopo di proposed-updates?</toc-add-entry> <p>R: Questa directory contiene i pacchetti che sono candidati ad entrare - nella prossima distribuzione "stable" di Debian. Ogni volta + nella prossima distribuzione <q>stable</q> di Debian. Ogni volta che un manutentore carica un pacchetto per la distribuzione - "stable" allora il pacchetto viene memorizzato nella stessa - directory. Poiché "stable" è una versione che + <q>stable</q> allora il pacchetto viene memorizzato nella stessa + directory. Poiché <q>stable</q> è una versione che è ritenuta stabile allora non viene aggiornata automaticamente. - Il team della sicurezza invia alla versione "stable" gli + Il team della sicurezza invia alla versione <q>stable</q> gli aggiornamenti dei pacchetti menzionati negli annunci, ma questi vengono inseriti nella directory proposed-updates. Ogni tanto il manager della distribuzione stabile controlla la lista dei pacchetti in proposed-updates e vaglia se un pacchetto sia pronto o meno per - "stable". Il tutto viene poi inserito nella revisione - successiva di "stable", come 2.2r3 o 2.2r4. I pacchetti non + <q>stable</q>. Il tutto viene poi inserito nella revisione + successiva di <q>stable</q>, come 2.2r3 o 2.2r4. I pacchetti non adatti saranno probabilmente rifiutati e cancellati da proposed-updates. <p>Si noti che i pacchetti caricati dai manutentori (e non dal team sicurezza) @@ -400,7 +381,7 @@ caricarlo invece su "proposed-updates"?</toc-add-entry> <toc-add-entry name=composing>Come è composto il team della sicurezza?</toc-add-entry> <p>R: Il team sicurezza Debian è composto da - <a href="../intro/organization">diversi membri e segretari</a>. + <a href="../intro/organization#security">diversi membri e segretari</a>. È lo stesso team sicurezza che invita le persone ad unirsi ad esso.</p> @@ -419,14 +400,14 @@ caricarlo invece su "proposed-updates"?</toc-add-entry> <toc-add-entry name=check>Come si può controllare che i pacchetti siano integri?</toc-add-entry> -<p>R: Controllando la firma del file Release mediante - la <a href="https://ftp-master.debian.org/keys.html">\ - chiave pubblica</a> usata per l'archivio. Il file Release contiene le - checksums dei file Packages e Sources, che a loro volta contengono le - checksums dei pacchetti binari e sorgenti. Istruzioni dettagliate su come - controllare l'integrità dei pacchetti possono essere trovate nel <a - href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\ - Debian Securing Manual</a>.</p> +<p>R: Controllando la firma del file Release mediante la <a + href="https://ftp-master.debian.org/keys.html">chiave pubblica</a> usata + per l'archivio. Il file Release contiene le checksums dei file Packages + e Sources, che a loro volta contengono le checksums dei pacchetti binari + e sorgenti. Istruzioni dettagliate su come controllare l'integrità dei + pacchetti possono essere trovate nel <a + href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">Debian + Securing Manual</a>.</p> <toc-add-entry name=break>Cosa fare se un altro pacchetto non funziona @@ -441,3 +422,64 @@ caricarlo invece su "proposed-updates"?</toc-add-entry> può capire cosa non va ma si ha una correzione, si contatti il team sicurezza anche se si potrebbe essere ridiretti allo stable release manager.</p> + + +<toc-add-entry name=cvewhat>Cosa è un identificatore CVE?</toc-add-entry> + +<p>R: Il progetto <em>Common Vulnerabilities and Exposures</em> assegna un + nome univoco, chiamato identificatori CVE, per indicare una specifica + vulnerabilità in modo da potersi riferire al problema in modo semplice e + inequivocabile. Ulteriori informazioni possono essere trovate su <a + href="https://it.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures">Wikipedia</a>.</p> + + +<toc-add-entry name=cvedsa>Debian emette un DSA per ogni id + CVE?</toc-add-entry> + +<p>R: Il Debian security team tiene traccia di ogni id CVE rilasciato, lo + lega ai pacchetti relevanti e valuta il suo impatto nel contesto di + Debian, il fatto che a qualcosa sia assegnato un id CVE non implica + necessariamente che il problema sia una seria minaccia per un sistema + Debian. Queste informazioni sono tracciate nel <a + href="https://security-tracker.debian.org">Debian Security Tracker</a> + e per quei problemi che sono considerati seri viene emesso un Debian + Security Advisory.</p> + +<p>I problemi con un basso impatto che non implicano un DSA verranno risolti + nel rilascio Debian successivo, in un rilascio minore delle distribuzioni + stable o oldstable oppure sono inseriti in un altro DSA qualora sia emesso + per una vulnerabilità più seria.</p> + + +<toc-add-entry name=cveget>Debian può assegnare identificatori + CVE?</toc-add-entry> + +<p>R: Debian è una Numbering Authority di CVE e può assegnare gli + identificatori ma per policy di CVE solo nel caso di problemi non ancora + conosciuti. Coloro che sono a conoscienza di una vulnerabilità riguardante + la sicurezza in un software per Debian e vorrebbe avere un identificatore + per il problema può contattare il Debian Security Team. Per i casi in cui + la vulnerabilità è già nota si consiglia di seguire la procedura indicata + nel <a href="https://github.com/RedHatProductSecurity/CVE-HOWTO">CVE + OpenSource Request HOWTO</a>.</p> + + +<h1>FAQ Debian sulla sicurezza deprecate</h1> + + +<toc-add-entry name=localremote>Che significa <q>local + (remote)</q>?</toc-add-entry> + +<p><b>L'informazione <i>Tipo di problema</i> nelle email DSA mails non è più + usato da aprile 2014.</b><br/> + R: Alcuni avvisi riguardano vulnerabilità che non possono essere + identificate con il classico schema di exploit locale e remoto. Alcune + vulnerabilità non possono essere sfruttate da remoto, in altre parole non + corrispondono ad un demone in ascolto su una porta di rete. Nel caso + possano essere sfruttate da file speciali forniti eventualmente via rete + anche se il servizio vulnerabile non è connesso permanentemente in rete, + lo descriveremo come <q>local (remote)</q>.</p> + +<p>Tali vulnerabilità sono a metà strada tra le locali e le remote e spesso + coprono archivi che possono essere forniti attraverso la rete, come + allegati di posta o da una pagina di download.</p> |