diff options
| author | Thomas Lange <lange@debian.org> | 2022-07-18 20:39:26 +0200 |
|---|---|---|
| committer | Thomas Lange <lange@debian.org> | 2022-07-18 20:39:26 +0200 |
| commit | 3a5c68f115956c48aa60c6aa793eb4d802665b23 (patch) | |
| tree | 97ffc61f2b63b7eb070fa559544d08c635fd1e8c /spanish/security | |
| parent | 698f6bf9f73d2a210811404b728d77b8d4e94327 (diff) | |
the security audit project is inactive
Diffstat (limited to 'spanish/security')
31 files changed, 0 insertions, 1140 deletions
diff --git a/spanish/security/audit/2002/Makefile b/spanish/security/audit/2002/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2002/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2002/index.wml b/spanish/security/audit/2002/index.wml deleted file mode 100644 index 4a3cb516511..00000000000 --- a/spanish/security/audit/2002/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2002" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2002</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2003/Makefile b/spanish/security/audit/2003/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2003/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2003/index.wml b/spanish/security/audit/2003/index.wml deleted file mode 100644 index e3b194647a8..00000000000 --- a/spanish/security/audit/2003/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2003" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2003</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2003.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2004/Makefile b/spanish/security/audit/2004/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2004/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2004/index.wml b/spanish/security/audit/2004/index.wml deleted file mode 100644 index c1567632f54..00000000000 --- a/spanish/security/audit/2004/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2004" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2004</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2004.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2005/Makefile b/spanish/security/audit/2005/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2005/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2005/index.wml b/spanish/security/audit/2005/index.wml deleted file mode 100644 index d3014e44090..00000000000 --- a/spanish/security/audit/2005/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2005" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2005</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2005.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2006/Makefile b/spanish/security/audit/2006/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2006/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2006/index.wml b/spanish/security/audit/2006/index.wml deleted file mode 100644 index 7c2e0352bf1..00000000000 --- a/spanish/security/audit/2006/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2006" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2006</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2006.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2007/Makefile b/spanish/security/audit/2007/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2007/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2007/index.wml b/spanish/security/audit/2007/index.wml deleted file mode 100644 index 4e0f91d0132..00000000000 --- a/spanish/security/audit/2007/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2007" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2007</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2007.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2008/Makefile b/spanish/security/audit/2008/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2008/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2008/index.wml b/spanish/security/audit/2008/index.wml deleted file mode 100644 index a6e63e4b764..00000000000 --- a/spanish/security/audit/2008/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2008" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2008</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2008.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2009/Makefile b/spanish/security/audit/2009/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2009/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2009/index.wml b/spanish/security/audit/2009/index.wml deleted file mode 100644 index 271c214d428..00000000000 --- a/spanish/security/audit/2009/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2009" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2009</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/2011/Makefile b/spanish/security/audit/2011/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/2011/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/2011/index.wml b/spanish/security/audit/2011/index.wml deleted file mode 100644 index dd80d502692..00000000000 --- a/spanish/security/audit/2011/index.wml +++ /dev/null @@ -1,12 +0,0 @@ -#use wml::debian::template title="Avisos de auditoría de seguridad de 2011" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="458c03fd57fc50534f97eccb28081fcc2c9cd180" maintainer="Laura Arjona Reina" - -<h2>Avisos publicados en 2011</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" - -<p> -Volver al <a href="..">proyecto de auditoría</a>, o a la <a -href="../advisories">lista de los avisos</a>. -</p> diff --git a/spanish/security/audit/Makefile b/spanish/security/audit/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/advisories.wml b/spanish/security/audit/advisories.wml deleted file mode 100644 index c7e77a29ce1..00000000000 --- a/spanish/security/audit/advisories.wml +++ /dev/null @@ -1,24 +0,0 @@ -#use wml::debian::template title="Avisos de la auditoría de seguridad" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0ad4d180b114f128c3363384351694a7bbe6a069" maintainer="juanma" - -<p>Aquí puede ver los últimos avisos que se han publicado, como resultado directo de este proyecto de auditoría:</p> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>También están disponibles los registros de los avisos que se han publicado en años anteriores:</p> - -<ul> -<li><a href="/security/audit/2011">2011</a></li> -<li><a href="/security/audit/2009">2009</a></li> -<li><a href="/security/audit/2008">2008</a></li> -<li><a href="/security/audit/2007">2007</a></li> -<li><a href="/security/audit/2006">2006</a></li> -<li><a href="/security/audit/2005">2005</a></li> -<li><a href="/security/audit/2004">2004</a></li> -<li><a href="/security/audit/2003">2003</a></li> -<li><a href="/security/audit/2002">2002</a></li> -</ul> - - diff --git a/spanish/security/audit/auditing.wml b/spanish/security/audit/auditing.wml deleted file mode 100644 index 810e0f19a28..00000000000 --- a/spanish/security/audit/auditing.wml +++ /dev/null @@ -1,170 +0,0 @@ -#use wml::debian::template title="Realizar una auditoría" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0c51b8ff34c17868bd2f86ac91fef7abc581e1e9" maintainer="juanma" - -<p>Esta página le proporciona un vistazo somero de los pasos que son necesarios - para afrontar la auditoría de un paquete.</p> - -<p>El primer paso es elegir un paquete que realmente necesite examinarse. - Debería elegir uno cuya seguridad sea crítica.</p> - -<p>Diríjase a <a href="$(HOME)/security/audit/packages">la lista de - paquetes cuya auditoría es prioritaria</a> para encontrar - sugerencias que le ayudarán a tomar su decisión.</p> - -<p>Una cosa que debería tener clara es que <em>no</em> pretendemos que el - paquete se audite una sola vez. Es bueno que muchas personas elijan - examinar el mismo paquete, porque se demostrará que mucha gente piensa - que ese paquete es sensible a cuestiones de seguridad.</p> - -<p>Permitiendo una selección de paquetes esencialmente aleatoria, simplificamos - la coordinación y eliminamos el problema de <q>¿cómo puede uno fiarse de que la - persona X ha hecho un buen trabajo?</q> (No lo necesitamos porque asumimos que - tarde o temprano alguien decidirá examinar el mismo programa).</p> - -<h2>Comenzar la auditoría</h2> - -<p>Tras tomar la decisión de los paquetes, tiene que comenzar la verdadera - auditoría.</p> - -<p>Si no está seguro del tipo de problemas que tiene que buscar, comience - leyendo un libro sobre desarrollo de software seguro.</p> - -<p><a href="http://www.dwheeler.com/secure-programs">Secure Programming for - Linux and Unix HOWTO</a> (n.t. en inglés) tiene información de calidad que - puede resultarle muy útil. - <a href="http://www.securecoding.org/">Secure Coding: Principles & - Practices</a>, de Mark G. Graff y Kenneth R. van Wyk (n.t. en inglés) - también es un excelente libro.</p> - -<p>Aunque las herramientas son imperfectas, pueden ser extremadamente útiles para - encontrar posibles vulnerabilidades. Diríjase a <a href="tools">la página de - herramientas de auditoría</a> para encontrar más información acerca de algunas - de las herramientas de auditoría disponibles y de cómo se usan.</p> - -<p>Además de mirar el propio código, es buena idea leer la propia documentación - del paquete, e intentar instalarlo y usarlo.</p> - -<p>Esto le debería permitir urdir maneras de subvertir el comportamiento típico - del programa.</p> - -<h2>Informar de problemas</h2> - -<p>Si descubre un problema en el paquete que está examinando, debería - informar de ello. Cuando informe de un fallo de seguridad, intente - proporcionar también un parche, para que los desarrolladores puedan - repararlo cuanto antes. No es necesario facilitar una muestra de - ataque (lo que se suele llamar un <em>exploit</em> o una <em>prueba de - concepto</em>), ya que el parche debería hablar por sí msimo. Suele - preferirse la inversión de tiempo en proporcionar un parche adecuado - que en facilitar un ataque con éxito que saque provecho del error.</p> - -<p>Aquí tiene una lista con los pasos recomendados para cuando - encuentre un error de seguridad en Debian:</p> - -<ol> - -<li>Intente producir un parche para el error u obtener información - suficiente para que otros puedan determinar la existencia del fallo. - De forma ideal, cada fallo debería contener una solución para el - problema que se ha descubierto, y que se haya probado y verificado - que ciertamente corrige el problema. - -<p>Si no tiene una solución para el problema, lo mejor será que dé los máximos - detalles sobre el ámbito del problema, la severidad de la incidencia y la - información adicional que haya recopilado sobre ella durante su - análisis.</p></li> - -<li>En primer lugar, compruebe si el error de seguridad está presente - en la versión estable de Debian o si puede estar presente en otras - distribuciones o en la versión original.</li> - -<li>Según los resultados de la comprobación anterior, informe del - incidente: - -<ul> - -<li>Al desarrollador original, a través del correo electrónico de - contacto para seguridad. Proporcione el análisis y el parche.</li> - -<li>Al equipo de seguridad de Debian, si el error está presente - la versión publicada de Debian. El equipo de seguridad de Debian le - suele asignar un <a - href="$(HOME)/security/cve-compatibility">nombre CVE</a> a la - vulnerabilidad. El equipo de seguridad se coordinará con otras - distribuciones de Linux si fuese necesario y se pondrá en contacto - con el responsable del paquete en su nombre. Una cosa que podría - hacer usted es mandar también una copia del correo al responsable - del paquete. De todas formas, hágalo sólo cuando se trate de - vulnerabilidades de bajo riesgo (tiene más información abajo).</li> - -<li>Si el error no está presente en la versión publicada de Debian - y la aplicación puede estar presente en otras distribuciones o - sistemas operativos, escriba a <a - href="http://oss-security.openwall.org/wiki/mailing-lists/oss-security">oss-security</a> - (una lista de correo pública usada para informar y debatir sobre errores de seguridad -que han sido previamente divulgados). No - tiene que hacer esto si ya ha enviado el fallo al equipo de seguridad - de Debian, puesto que este equipo también seguirá los pasos de esta - lista.</li> - -<li>Si el error <strong>no</strong> está presente en ninguna de las - versiones publicadas por Debian y está absolutamente seguro de que la - aplicación <strong>no</strong> forma parte de ninguna otra distribución - ni sistema operativo, informe de ello a través del sistema de - seguimiento de fallos.</li> - -</ul></li> - -<li>Una vez que la vulnerabilidad sea pública (por ejemplo, cuando el - equipo de seguridad de Debian o cualquier otro proveedor haya emitido - un aviso) se rellenará un informe de fallo con toda la información - relevante en el sistema de seguimiento de fallos de Debian para seguir - la pista de las incidencias de seguridad en las versiones no publicadas - de Debian (esto es, <em>sid</em> o <em>en pruebas</em>). Esto lo - suele hacer el propio equipo de seguridad. De todas formas, si viera - que no se ha producido este paso o si no va a avisar de esto al equipo - de seguridad, puede informar usted mismo. Asegúrese de que la etiqueta - del fallo es la adecuada (use la etiqueta <em>seguridad</em>) y de que - ha definido la prioridad apropiada (normalmente, <em>grave</em> o - superior). Asegúrese también de que el título del error incluye el <a - href="$(HOME)/security/cve-compatibility">nombre CVE</a> adecuado, si - es que se le ha asignado. De esta forma se le puede seguir la pista a - los errores de seguridad que se han corregido tanto en las versiones - publicadas como en las no publicadas de Debian.</li> - -<li>Si lo desea, una vez que sea pública la incidencia, puede reenviar - esta información a listas de correo públicas de divulgación, como - <a href="https://lists.grok.org.uk/mailman/listinfo/full-disclosure">full-disclosure</a> - o - <a href="http://www.securityfocus.com/archive/1">Bugtraq</a>.</li> - -</ol> - -<p>Tenga en cuenta que estos pasos pueden variar según el riesgo - asociado con la vulnerabilidad que se encuentre. Tiene que valorar - el riesgo según:</p> - -<ul> -<li>Se trate de una vulnerabilidad remota o local.</li> -<li>Las consecuencias del provecho que se pueda sacar de la - vulnerabilidad.</li> -<li>La popularidad y difusión del software que se vea afectado por la - vulnerabilidad.</li> -</ul> - -<p>Se deben dar distintos pasos, por ejemplo, para informar de un - ataque local de enlaces simbólicos que sólo puedan aplicar los - usuarios autenticados y que sólo provea de una forma de dañar el - sistema que para informar de un desbordamiento remoto de buffer que - proporcione privilegios administrativos y esté presente en un - software popular y de gran difusión.</p> - -<p>En la mayor parte de los casos, los errores de seguridad no se -deberían revelar hasta que se hayan corregido. Por tanto, <i>no</i> -informe de ellos por el <a href="https://bugs.debian.org/">sistema -estándar de seguimiento de fallos</a>. En su lugar, informe del -problema directamente al <a href="$(HOME)/security/">equipo de -seguridad</a>, que gestionará la publicación de un paquete actualizado -y, una vez corregido, informará de ello en el BTS.</p> - diff --git a/spanish/security/audit/examples/Makefile b/spanish/security/audit/examples/Makefile deleted file mode 100644 index d2730189037..00000000000 --- a/spanish/security/audit/examples/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/spanish,webwml/english,$(CURDIR))/Makefile diff --git a/spanish/security/audit/examples/RATS.wml b/spanish/security/audit/examples/RATS.wml deleted file mode 100644 index 1e46be6c619..00000000000 --- a/spanish/security/audit/examples/RATS.wml +++ /dev/null @@ -1,138 +0,0 @@ -#use wml::debian::template title="Ejemplo de auditoría automatizada: RATS" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="juanma" -# $Id$ - -<p><a href="https://packages.debian.org/rats">RATS</a> es un analizador de -propósito general que se utiliza para detectar potenciales problemas de -seguridad en varios lenguajes de programación.</p> - -<h2>Hacer funcionar RATS</h2> -<p>Hacer funcionar RATS es tan sencillo como invocar el comando con el -directorio que se va a procesar. Se procesarán todos los archivos -que se encuentren y que se reconozcan como archivos fuente. RATS entiende -varios lenguajes de programación, C, Perl, PHP y Python, y los tratará como -fuentes válidas para examinar.</p> -<p>Hay varias opciones que se pueden proporcionar, además del nombre del -directorio que se va a analizar, y se describen en la página del manual.</p> -<p>Las opciones más útiles son las relacionadas con la salida, como:</p> -<ul> -<li>--warning <nivel> (Define el nivel de las debilidades de las que se -informa) -<ul> -<li>1 incluye sólo las predefinidas y las de muy alta severidad.</li> -<li>2 incluye las de severidad media (predefinido).</li> -<li>3 incluye las vulnerabilidades de baja severidad.</li> -</ul></li> -<li>--xml (Salida en XML)</li> -<li>--html (Salida en HTML)</li> -</ul> -<p>Suponiendo que tenemos el <a href="test.c.html">archivo de prueba</a> -situado en el directorio actual sin ningún otro archivo fuente, podemos -invocar el analizador con el siguiente comando:</p> -<pre> -rats --warning 1 --html . >salida.html -</pre> -<p>Producirá un archivo HTML con el resultado del análisis, que puede -cargarse desde un navegador.</p> - -<h2>El resultado</h2> -<p>Al hacer funcionar RATS sobre nuestro <a href="test.c.html">código de -ejemplo</a>, se produce la siguiente salida <i>(Nota del traductor: se -mantiene la salida literal del comando, que es en inglés)</i>:</p> -<hr /> -<div class="sampleblock"> -<h3>Severity: High</h3> -<p>Issue: fixed size global buffer</p> -<p> - Extra care should be taken to ensure that character arrays that are - allocated on the stack are used safely. They are prime targets for - buffer overflow attacks. -</p> -<p> - File: <b>test.c</b><br> - Lines: 10 11 12 -</p> - -<h3>Severity: High</h3> -<p>Issue: strcpy</p> -<p> - Check to be sure that argument 2 passed to this function call will not - copy more data than can be handled, resulting in a buffer overflow. -</p> -<p> - File: <b>test.c</b><br> - Lines: 18 -</p> - -<h3>Severity: High</h3> -<p>Issue: getenv</p> -<p>Environment variables are highly untrustable input. They may be of any length, and contain any data. Do not make any assumptions regarding content or length. If at all possible avoid using them, and if it is necessary, sanitize them and truncate them to a reasonable length. -</p> -<p> - File: <b>test.c</b><br> - Lines: 22 24 </p> - -<h3>Severity: High</h3> -<p>Issue: sprintf</p> -<p> - Check to be sure that the format string passed as argument 2 to this - function call does not come from an untrusted source that could have added - formatting characters that the code is not prepared to handle. - Additionally, the format string could contain `%s' without precision that - could result in a buffer overflow. -</p> -<p> - File: <b>test.c</b><br> - Lines: 24 </p> - -<h3>Severity: High</h3> -<p>Issue: popen</p> -<p> - Argument 1 to this function call should be checked to ensure that it does - not come from an untrusted source without first verifying that it contains - nothing dangerous. -</p> -<p> - File: <b>test.c</b><br> - Lines: 33 </p> - -<h3>Severity: High</h3> -<p> Issue: printf</p> -<p> - Check to be sure that the non-constant format string passed as argument 1 - to this function call does not come from an untrusted source that could - have added formatting characters that the code is not prepared to handle. -</p> -<p> - File: <b>test.c</b><br> - Lines: 42 </p> - <p> - Total lines analyzed: <b>49</b><br> - Total time <b>0.000288</b> seconds<br> - <b>170138</b> lines per second</p> -</div> -<hr /> -<p>La salida es bastante voluminosa, a pesar de que el propio código es muy -breve. Esto muestra uno de los puntos negativos del análisis automatizado, -el volumen de información de la salida.</p> - -<h2>Comprender la salida</h2> -<p>La salida que se ha producido es básicamente una descripción de las -funciones que se encuentren, el número de línea en el que se ha detectado -la debilidad y una descripción del problema. (Como hemos utilizado un nivel -de advertencia «--warning» para restringir sólo a las funciones del nivel -«alto», hemos reducido en cierta manera la salida).</p> -<p>Cada una de las incidencias que hemos descubierto debería ser examinada -manualmente para ver si realmente hay algo mal o si se trata de un falso -positivo (por ejemplo, una función que se pudiera utilizar erróneamente, pero -que se usa de la forma adecuada).</p> -<p>En este caso, vemos que todas las vulnerabilidades de nuestro código han -sido citadas, pero no queda totalmente claro sin abrir el código con un -editor e ir revisando las líneas.</p> -<p>Una gran omisión en la salida es que no se incluyen las líneas a las que -se hace referencia, algo que <a href="flawfinder">flawfinder</a> le permite -incluir.</p> -<hr /> -<p><a href="..">Volver al proyecto de auditoría</a> | -<a href="index">Volver a la página de ejemplos de auditoría</a></p> diff --git a/spanish/security/audit/examples/flawfinder.wml b/spanish/security/audit/examples/flawfinder.wml deleted file mode 100644 index bc786e40038..00000000000 --- a/spanish/security/audit/examples/flawfinder.wml +++ /dev/null @@ -1,107 +0,0 @@ -#use wml::debian::template title="Ejemplo de auditoría automatizada: flawfinder" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Juan M. Garcia" -# $Id$ - -<p><a href="https://packages.debian.org/flawfinder">flawfinder</a> es un analizador de -propósito general para encontrar e informar de debilidades potenciales en código -fuente tanto de C como de C++.</p> - - -<h2>Hacer funcionar flawfinder</h2> -<p>Hacer funcionar flawfinder es tan sencillo como invocar el comando con el -directorio o los nombres de los archivos que se van a procesar. Si se indica -un directorio, se procesarán todos los archivos que se encuentren y que se -reconozcan como archivos fuente en ese directorio.</p> -<p>Además de proporcionar al programa una lista de archivos o directorios, -hay varias opciones de la línea de comandos que se utilizan para controlar el -comportamiento de las herramientas.</p> -<p>Las opciones se explican al detalle en la página del manual, pero hay -opciones particularmente útiles que usaremos en el ejemplo:</p> -<ul> -<li>--minlevel=X -<ul> -<li>Define como X el nivel mínimo de riesgo para que se incluya en la -salida. El rango válido es de 1 a 5, siendo 1 «bajo riesgo» y 5 «alto -riesto».</li> -</ul></li> -<li>--html -<ul> -<li>Formatea la salida como HTML en lugar de como texto sencillo.</li> -</ul></li> -<li>--context -<ul> -<li>Muestra el contexto, por ejemplo, la línea que tiene la potencial -debilidad.</li> -</ul></li> -</ul> - -<p>Para producir un archivo HTML con el resultado de nuestro programa, -teniendo en cuenta sólo las funciones de «alto riesgo», tendríamos que -teclear algo como esto:</p> -<pre> -flawfinder --html --context --minlevel=4 test.c > output.html -</pre> - -<h2>El resultado</h2> -<p>Al hacer funcionar flawfinder sobre nuestro <a href="test.c.html">código -de ejemplo</a>, se produce la siguiente salida <i>(Nota del traductor: se -mantiene la salida literal del comando, que es en inglés)</i>:</p> - -<hr /> -<div class="sampleblock"> -<p> -Examining test.c <br> -<ul> -<li>test.c:18: <b> [4] </b> (buffer) <i> strcpy: - Does not check for buffer overflows when copying to destination. - Consider using strncpy or strlcpy (warning, strncpy is easily misused). </i> -<pre> - strcpy( dir, argv[ 1 ] ); -</pre> -<li>test.c:24: <b> [4] </b> (buffer) <i> sprintf: - Does not check for buffer overflows. Use snprintf or vsnprintf. </i> - -<pre> - sprintf( dir, "%s", getenv( "HOME" ) ); -</pre> -<li>test.c:33: <b> [4] </b> (shell) <i> popen: - This causes a new program to execute and is difficult to use safely. - try using a library call that implements the same functionality if - available. </i> -<pre> - fp = popen( cmd, "r" ); -</pre> -<li>test.c:42: <b> [4] </b> (format) <i> printf: - If format strings can be influenced by an attacker, they can be - exploited. Use a constant for the format specification. </i> - -<pre> - printf( buff ); -</pre> -</ul> -<p> -Number of hits = 4 -<br> -Number of Lines Analyzed = 48 in 0.53 seconds (1392 lines/second) -<br> -</div> -<hr /> - -<h2>Comprender la salida</h2> -<p>Al igual que ocurría con la salida de <a href="RATS">RATS</a>, este -informe es es muy fácil de leer. Muestra claramente las funciones que se -han detectado como potencialmente peligrosas, así como la descripción del -problema.</p> -<p>También es muy útil la inclusión de información de contexto, porque así se -concentra la atención inmediatamente sobre los puntos de interés y se evita -considerar otros que no son tan válidos.</p> -<p>El análisis del <a href="test.c">código de nuestro ejemplo</a> es bastante -inteligente, puesto que no avisa de <i>todas</i> las funciones <tt>strcpy</tt> -problemáticas, sino sólo de la que piensa que podría ser potencialmente -peligrosa.</p> -<p>De esta forma, ha conseguido resaltar todas las debilidades de nuestro -código sin dar lugar a falsos positivos.</p> -<hr /> -<p><a href="..">Volver al proyecto de auditoría</a> | -<a href="index">Volver a la página de ejemplos de auditoría</a></p> diff --git a/spanish/security/audit/examples/index.wml b/spanish/security/audit/examples/index.wml deleted file mode 100644 index 92a6e59bcbf..00000000000 --- a/spanish/security/audit/examples/index.wml +++ /dev/null @@ -1,23 +0,0 @@ -#use wml::debian::template title="Ejemplo de auditoría automatizada" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="6097aaeb789f09a86133073acab93480df51405c" maintainer="juanma" -# $Id$ - -<p>Como se explicó en la <a href="../tools">página de las herramientas de - auditoría</a>, hay varios paquetes en el archivo de Debian que se pueden - usar para auditar automáticamente el código fuente.</p> - - -<h2>Ejemplos de auditoría</h2> -<p>Cada una de las herramientas siguientes se va a probar con el mismo <a - href="test.c.html">trozo de código plagado de errores</a>. Esto permite - comparar directamente la salida de las herramientas.</p> -<p>El código se ha analizado con tres herramientas:</p> -<ul> -<li><a href="flawfinder">flawfinder</a></li> -<li><a href="RATS">RATS</a></li> -<li><a href="pscan">pscan</a></li> -</ul> -<hr /> -<p><a href="..">Volver al proyecto de auditoría</a></p> - diff --git a/spanish/security/audit/examples/pscan.wml b/spanish/security/audit/examples/pscan.wml deleted file mode 100644 index 08e3153a923..00000000000 --- a/spanish/security/audit/examples/pscan.wml +++ /dev/null @@ -1,57 +0,0 @@ -#use wml::debian::template title="Ejemplo de auditoría automatizada: pscan" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Juan M. Garcia" -# $Id$ - -<p><a href="https://packages.debian.org/pscan">pscan</a> es un paquete - diseñado para auditar archivos fuente de C y C++ en busca de vulnerabilidades - de cadena de formato.</p> -<p>No es una herramienta de auditoría de propósito general.</p> - -<h2>Hacer funcionar pscan</h2> -<p>Hacer funcionar pscan es una empresa tan sencilla como invocar el -comando con el nombre del archivo o de los archivos que se vayan a -comprobar. Por ejemplo:</p> -<samp> -pscan <a href="test.c.html">test.c</a> -</samp> -<p>La salida se mostrará directamente en la consola <i>(Nota del traductor: - se mantiene la salida literal del comando, que es en inglés)</i>:</p> -<hr /> -<samp> -test.c:42 SECURITY: printf call should have "%s" as argument 0 -</samp> -<hr /> - -<h2>La salida</h2> -<p>En este caso, la salida se entiende fácilmente. Ha identificado - correctamente que en la llamada a <tt>printf</tt> no se citan los - argumentos correctamente.</p> -<p>La salida también nos muestra qué debemos hacer para corregir la - debilidad, esto es, cambiar el código que lee: -<pre> -printf( buff ); -</pre> -<p>Para que lea:</p> -<pre> -printf( "%s", buff ); -</pre> -<p>Si no se hace esto, se le podría permitir a un atacante que pudiera - controlar la salida de <tt>ls</tt> para que atacara el programa, creando - un archivo llamado "%s" o similar.</p> -<p>Los ataques de cadena de formato se tratan <a - href="http://www.securityfocus.com/guest/3342">en esta introducción de - Security Focus</a> <i>(en inglés)</i>.</p> -<p>El <a href="http://www.dwheeler.com/secure-programs/">Secure Programming - for Linux and Unix HOWTO</a> <i>(Cómo programar de forma segura para Linux - y Unix, en inglés)</i> explica cómo protegerse frente a estos ataques a - funciones variadic <i>(nota del traductor: que no siempre toman el mismo - número de argumentos)</i>, como:</p> -<ul> -<li>printf</li> -<li>fprintf</li> -<li>syslog</li> -</ul> -<hr /> -<p><a href="..">Volver al proyecto de auditoría</a> | -<a href="index">Volver a la página de ejemplos de auditoría</a></p> diff --git a/spanish/security/audit/faq.wml b/spanish/security/audit/faq.wml deleted file mode 100644 index 52742fbb0df..00000000000 --- a/spanish/security/audit/faq.wml +++ /dev/null @@ -1,140 +0,0 @@ -#use wml::debian::template title="Preguntas frecuentes de la auditoría de seguridad de Debian" -#use wml::debian::toc -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" maintainer="juanma" - -<p>Esta página muestra algunas de las preguntas más frecuentes que se suelen - plantear los visitantes que se acercan por vez primera a este proyecto.</p> - -<toc-display> - - -<toc-add-entry name="what">¿Qué es el proyecto de auditoría de seguridad de Debian?</toc-add-entry> - -<p>El proyecto de auditoría de seguridad es un pequeño proyecto dentro de Debian. Está - diseñado para actuar sobre la seguridad de forma preventiva, realizando auditorías del código - fuente de los paquetes que tienen a su disposición los usuarios de Debian.</p> - -<p>La auditoría se centra en la distribución estable de Debian, y su rumbo lo marcan las - <a href="packages">directrices de priorización de paquetes</a>.</p> - - -<toc-add-entry name="start">¿Cuándo comenzó el proyecto de auditoría de Debian?</toc-add-entry> - -<p>El primer aviso se publicó en diciembre de 2002, y lo siguieron varios avisos más.</p> - -<p>Siguió como una característica no oficial hasta que Martin Michlmayr, el líder del - proyecto Debian, declaró su estado como <q>oficial</q>.</p> - -<toc-add-entry name="advisories-from-audit">¿Qué resultados (en forma de - avisos) ha producido el esfuerzo de auditoría?</toc-add-entry> - -<p>Se han publicado varios avisos como parte del trabajo de auditoría. Todos los que se - publicaron antes de que el proyecto tuviera el estatus de oficial se muestran en la - <a href="advisories">página de avisos de auditoría</a>.</p> - -<p>Se espera que en breve los avisos del proyecto sean públicos y se pueda - acceder a los informes de los avisos de seguridad de Debian y buscarlos desde el - <q>Proyecto de auditoría de seguridad de Debian</q>.</p> - - -<toc-add-entry name="advisories">¿Está relacionado el trabajo de la - auditoría con los avisos de seguridad?</toc-add-entry> - -<p>No. Hay muchas incidencias de seguridad que el proceso de auditoría - ha encontrado y de las que no se puede sacar provecho inmediatamente - (sin embargo, podían hacer que el programa cayese). Algunas otras - incidencias relacionadas con la seguridad que hemos encontrado no están - presentes en la versión estable oficial de Debian, pero aparecía en las - versiones en pruebas o inestable. Todos esos descubrimientos se han - comunicado a través del sistema de seguimiento de fallos de Debian (y - en algunas ocasiones, directamente a los autores originales).</p> - -<toc-add-entry name="credit">¿Quién ha participado en este trabajo?</toc-add-entry> - -<p>Steve Kemp comenzó el proyecto de auditoría de seguridad de Debian. Hizo el proceso - inicial y lo probó, encontrando muchas vulnerabilidades.</p> - -<p>Ulf Härnhammar se unió en estos primeros tiempos no oficiales y - encontró varias vulnerabilidades que ya se habían corregido. Al poco - tiempo de que lo hiciera Ulf, Swaraj Bontula y Javier Fernández-Sanguino, - que también encontraron varios problemas de seguridad bastante - significativos.</p> - -<p><a href="http://www.dwheeler.com">David A. Wheeler</a> instigó a Steve Kemp a que - se presentara voluntario para convertirlo en un proyecto oficial de Debian, lo que fue - posible gracias a la implicación de Martin Michlmayr, el líder del proyecto Debian. David - también hizo sugerencias de lo más interesante acerca del contenido de estas páginas, - haciendo una contribución directa a varias secciones.</p> - -<p>El <a href="$(HOME)/security">equipo de seguridad de Debian</a> ha sido - de mucha ayuda para el éxito de la auditoría, asegurándose de que todas las vulnerabilidades - que se encontraban se corregían y se distribuían por el mundo rápidamente.</p> - -<p>Las siguientes personas han contribuido en al menos un aviso de seguridad en -nombre del proyecto:</p> - -#include "$(ENGLISHDIR)/security/audit/data/credits.inc" - -<p>Las colaboraciones siempre son bienvenidas.</p> - - -<toc-add-entry name="contribute">¿Cómo puedo colaborar?</toc-add-entry> - -<p>Si tiene el tiempo y las habilidades necesarias para realizar la auditoría de un paquete, - adelante con ello.</p> - -<p>El <a href="auditing">vistazo general de la auditoría</a> debería darle una buena - idea de cómo afrontar el trabajo. Puede realizar cualquier pregunta que tenga en la -<a -href="https://lists.debian.org/debian-security/">lista de correo de debian-security</a>.</p> - -<toc-add-entry name="mailinglist">¿Puedo debatir sobre paquetes específicos en la - lista de correo?</toc-add-entry> - -<p>Es mejor que no nombre los paquetes en los que haya descubierto los -problemas antes de que se publique un -<a href="$(HOME)/security/">DSA</a>. Si lo hace, podría permitir que -un usuario malvado se aprovechara de cualquier debilidad que haya -descrito antes de que se haya corregido.</p> - -<p>En su lugar, puede usar la lista de correo para describir un trozo -de código y pedir opinión sobre si se podría sacar provecho de esto y -cómo corregirlo.</p> - - -<toc-add-entry name="maintainer">¿Cómo puedo colaborar como mantenedor -de un paquete?</toc-add-entry> - -<p>Los mantenedores de paquetes pueden ayudar a asegurar el software -que están empaquetando echando un vistazo al propio código o pidiendo -ayuda.</p> - -<p>Eche un vistazo a la <a href="maintainers">auditoría para -mantenedores de paquetes</a>.</p> - - -<toc-add-entry name="reporting">¿Cómo informo de un problema que he - descubierto?</toc-add-entry> -<p>Hay una sección en las -<a href="$(HOME)/security/faq#discover">preguntas frecuentes del equipo -de seguridad</a> que describe el proceso.</p> - - -<toc-add-entry name="clean">¿Hay disponibles paquetes auditados y - limpios?</toc-add-entry> - -<p>No. No hay una lista pública de los paquetes que se han examinado y -en los que no se han encontrado problemas.</p> - -<p>En parte, se debe a que puede haber problemas ocultos que hemos -pasado por alto y, también en parte, a que hay varias personas llevando -a cabo las auditorías sin un gran nivel de coordinación.</p> - - -<toc-add-entry name="moreinfo">¿Dónde puedo encontrar más - información?</toc-add-entry> - -<p>Actualmente no hay una lista de correo a la que pueda suscribirse y -realizar preguntas. Por ahora, puede usar la <a href="https://lists.debian.org/debian-security/"> -lista de correo debian-security</a>.</p> - diff --git a/spanish/security/audit/index.wml b/spanish/security/audit/index.wml deleted file mode 100644 index 141762285ef..00000000000 --- a/spanish/security/audit/index.wml +++ /dev/null @@ -1,52 +0,0 @@ -#use wml::debian::template title="Proyecto de auditoría de seguridad de Debian" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="57f73cd8cc7f0c94f280e3444c075d201e8d42a8" maintainer="juanma" -# $Id$ - -<p>El proyecto de auditoría de seguridad de Debian es un proyecto que se -centra en auditar cuestiones de seguridad en los paquetes de Debian.</p> - -<p>En su corta existencia, ha sido responsable de varios <a -href="$(HOME)/security/">avisos de seguridad de Debian</a>, probando que este -proceso de auditoría funciona de verdad para mejorar la seguridad de Debian. -Se espera que de este trabajo produzca más avisos en el futuro.</p> - -<p>Al adoptar una postura eminentemente activa en la auditoría del código, -ayudamos a certificar que Debian continúa su amplia trayectoria de tomarse la -seguridad en serio.</p> - - -<h2>Ámbito de la auditoría</h2> - -<p>El objetivo del proyecto es auditar en busca de debilidades tantos paquetes -de la distribución estable de Debian como sea posible. También se deben -examinar los paquetes de la distribución inestable en busca de debilidades, -reduciendo en primera instancia el índice de paquetes inseguros que entran -en la versión estable.</p> - -<p>Debido al ingente tamaño de la versión actual de Debian, un equipo pequeño -no puede afrontar la auditoría de todos los paquetes, por lo que hay un -sistema de priorización de paquetes que son más sensibles en cuestiones de -seguridad.</p> - -<p>Las <a href="packages">directrices de priorización de paquetes</a> pretenden -asegurar que el tiempo se invierte en la auditoría de los paquetes que -importan. El <a href="tools">vistazo general a las herramientas de -seguridad</a> le muestran cómo puede usar los analizadores de código fuente -disponibles para guiarle en su auditoría.</p> - - -<h2>Avisos publicados anteriormente</h2> - -<p>Para cada paquete vulnerable en el que se haya encontrado un problema, el -equipo de seguridad de Debian publicará un <a -href="$(HOME)/security/">DSA</a>.</p> - -<p>Como referencia, hay una <a href="advisories">lista de avisos -antiguos</a> que el proceso de auditoría ha producido directamente.</p> - - -<h2>Más información</h2> - -<p>Se puede encontrar más información del proyecto en las <a -href="faq">preguntas frecuentes de la auditoría de seguridad</a>.</p> diff --git a/spanish/security/audit/maintainers.wml b/spanish/security/audit/maintainers.wml deleted file mode 100644 index e4a5c0bf9c7..00000000000 --- a/spanish/security/audit/maintainers.wml +++ /dev/null @@ -1,56 +0,0 @@ -#use wml::debian::template title="Auditoría para mantenedores de paquetes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="534d1b782cfb92f46dc41fd064f779fffc329b12" maintainer="juanma" - -<p>Si mantiene un paquete que está en el archivo de Debian, - puede plantearse echar un vistazo al código.</p> - -<p>La disponibilidad de <a href="tools">herramientas de auditoría de código fuente</a> puede - facilitar este proceso de forma significativa. Aunque no tenga el tiempo - suficiente para hacer una auditoría completa, puede hacerla sobre las - áreas potencialmente más problemáticas.</p> - -<p>Si necesita asistencia, por favor contacte con el -<a href="$(HOME)/security/#contact">equipo de seguridad de Debian</a> o bien -la <a href="https://lists.debian.org/debian-security/">lista de correo -(pública) debian-security</a> para asistencia sobre cómo llevar a cabo una -auditoría del código fuente.</p> - - - # considere unirse a la <a - #href="http://shellcode.org/mailman/listinfo/debian-audit">lista de correo debian-audit - #</a> y pedir que un voluntario se haga cargo de su - #paquete.</p> - -<h2>Fuentes para mantenedores</h2> - -<p>Los mantenedores que deseen revisar el código fuente, pueden estar interesados -en leer el artículo de la Debconf6 <a - href="https://people.debian.org/~jfs/debconf6/security/weeding_security_bugs.pdf">«Weeding -out security bugs in Debian» («Espurgando fallos de seguridad en Debian»)</a> (<a href="https://people.debian.org/~jfs/debconf6/security/slides/weeding_security_bugs.slides.pdf">presentación</a>) -o las notas <a - href="https://people.debian.org/~jfs/debconf6/security/common-problems.txt"> -«Short, practical overview on how to find a few common mistakes in programs written in - various languages» («Visión escueta y práctica sobre cómo encontrar algunos problemas comunes en -programas escritos en varios lenguajes»)</a> (ambos documentos escritos por miembros del proyecto -de auditoría). </p> - -<p>El artículo <q>Weeding out security bugs in Debian</q> se presentó en la Debconf6, México, -y fue parte de un taller. Para mantenedores nuevos en auditoría, -<a href="https://people.debian.org/~jfs/debconf6/security/samples/">el código de ejemplo</a> -y los <a -href="http://meetings-archive.debian.net/pub/debian-meetings/2006/debconf6/">vídeos del taller -</a> pueden ser de utilidad.</p> - -<h2>Versiones nuevas</h2> -<p>Como parte de su trabajo de mantenedor responsable, también debería echar -una ojeada a las versiones nuevas que publique el autor del paquete. Si en -el registro de cambios se menciona algún problema de seguridad, debería -intentar descubrir si hay una versión vulnerable del código en la -distribución estable.</p> -<p>Si descubre que hay una versión vulnerable en la distribución estable, -haga el favor de ponerse en contacto con el equipo de seguridad, tal y como -se describe en las <a href="$(HOME)/security/faq">preguntas frecuentes del equipo -de seguridad</a>.</p> - - diff --git a/spanish/security/audit/packages.wml b/spanish/security/audit/packages.wml deleted file mode 100644 index 13a2f6e4595..00000000000 --- a/spanish/security/audit/packages.wml +++ /dev/null @@ -1,105 +0,0 @@ -#use wml::debian::template title="Directrices de priorización para auditoría de paquetes " -#use wml::debian::recent_list -#use wml::debian::translation-check translation="8536cf419447d00f034a8e3ad9efa6a243462fe7" maintainer="juanma" - -<p>Al realizar una auditoría de la distribución Debian, uno de los primeros - problemas es decidir qué paquetes hay que examinar.</p> - -<p>De forma ideal, todos los paquetes se deberían examinar, pero debido al - enorme tamaño del archivo, tiene que haber una forma sencilla de priorizar - el trabajo.</p> - -<p>Las primeras directrices para el examen de los paquetes son:</p> - -<ol> -<li>Cualquier binario que esté instalado con setuid o setgid.</li> - -<li>Cualquiera que proporcione un servicio de red.</li> - -<li>Cualquier CGI o guión PHP accesible de forma remota.</li> - -<li>Cualquiera que tenga un trabajo de cron o cualquier guión automático que - funcione con privilegios de root.</li> - -</ol> - -<p>Los paquetes populares deberían tener una prioridad mayor, porque cualquier - problema en ellos afectará a un gran número de usuarios.</p> - -<p>El <a href="https://popcon.debian.org/">concurso de popularidad de - Debian</a> mantiene una encuesta continuada que muestra qué paquetes son - más populares entre los voluntarios que realizan la encuesta.</p> - -<p>En particular, eche un vistazo a los <a - href="https://popcon.debian.org/by_vote">paquetes ordenados por votos</a>. - La lista <q>por votos</q> ordena los paquetes según su frecuencia de uso entre los - participantes en la encuesta.</p> - -<p>Si la seguridad de un paquete es importante, aún lo es más si cumple alguno - de los criterios de arriba. Y si además es popular (según alguna encuesta - como esta), <em>definitivamente</em> es un candidato a la revisión.</p> - - -<h2>Binarios <tt>setuid</tt> y <tt>setgid</tt>.</h2> - -<p>Los binarios <tt>setuid</tt> y <tt>setgid</tt> son los objetivos - tradicionales de las auditorías de seguridad, porque un binario vulnerable - comprometido con estos permisos puede provocar que un usuario local obtenga - acceso a privilegios que no le pertenecen.</p> - -<p>Para ayudar a buscar, aquí hay una lista con todos los binarios con setuid - y setgid que hay en la versión actual estable.</p> - -<ul> -<li><a href="https://lintian.debian.org/tags/setuid-binary.html">Informe de Lintian - de binarios Setuid en Debian</a></li> - -<li><a href="https://lintian.debian.org/tags/setgid-binary.html">Informe de Lintian -de binarios Setgid en Debian</a></li> - -# POR HACER («TODO») (jfs): lo de arriba no proporciona la misma información que estaba -# disponible en http://shellcode.org/Setuid/ -# ¿preguntar a Steve Kemp sobre mover esta característica a una máquina administrada -# por Debian? -# (o al proyecto de Alioth) -# - -</ul> -<p>Cuando vaya a elegir los binarios, es importante que recuerde que estos - binarios son más sensibles a cuestiones de seguridad que los otros. Los - binarios setuid(root) se deberían examinar antes que, por ejemplo, los - setgid(games) y setuid(bugs).</p> - - -<h2>Servidores de red</h2> - -<p>Los servidores de red son otra fuente de inspiración obvia cuando se - realiza una auditoría de seguridad. Son problemas que podrían aprovechar - los atacantes para comprometer las máquinas de forma remota.</p> - -<p>Los compromisos remotos son generalmente mucho más severos que los - locales.</p> - - -<h2>Guiones en línea</h2> - -<p>Los guiones en línea, especialmente los guiones CGI, son del mismo tipo - que los de los servidores de red. Aunque su propio servidor sea seguro, los - guiones que corren en él también son importantes.</p> - -<p>Un error en un guión que esté disponible en la red es tan serio como un - error en un servidor que esté escuchando conexiones. Ambos podrían - comprometer su máquina.</p> - - -<h2>Trabajos de cron y servicios del sistema</h2> - -<p>Aunque no hay muchos, lo mejor es echar un vistazo a los guiones - automáticos, trabajos de cron, etc., que están incluidos en el paquete.</p> - -<p>Muchas cosas de soporte corren como root de forma predeterminada para - limpiar archivos de registro, etc.</p> - -<p>El éxito en el aprovechamiento de un ataque de enlace simbólico podría - derivar en un compromiso local.</p> - diff --git a/spanish/security/audit/tools.wml b/spanish/security/audit/tools.wml deleted file mode 100644 index 67fb64a5b93..00000000000 --- a/spanish/security/audit/tools.wml +++ /dev/null @@ -1,149 +0,0 @@ -#use wml::debian::template title="Herramientas para auditar la seguridad" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" maintainer="Juan M. Garcia" - -<p>Hay varios paquetes disponibles en el archivo de Debian que están diseñados - para dar asistencia a las auditorías de código fuente. Entre ellos están:</p> - -<ul> -<li><a href="https://packages.debian.org/flawfinder">Flawfinder</a> -<ul> -<li><a href="examples/flawfinder">Ejemplo de uso de flawfinder.</a></li> -</ul></li> -<li><a href="http://archive.debian.net/woody/its4">ITS4</a> -<ul> -<li>No hay ejemplo para ITS4, porque se ha eliminado de la distribución inestable.</li> -</ul></li> -<li><a href="https://packages.debian.org/rats">RATS</a> -<ul> -<li><a href="examples/RATS">Ejemplo de uso de RATS.</a></li> -</ul></li> -<li><a href="https://packages.debian.org/pscan">pscan</a> -<ul> -<li><a href="examples/pscan">Ejemplo de uso de pscan.</a></li> -</ul></li> -</ul> - -<p>Tenga en cuenta también que hay algunas otras herramientas -específicas para una serie de vulnerabilidades de seguridad que aún no -se han empaquetado para Debian pero que pueden ser útiles para los -auditores. Entre ellas están:</p> - -<ul> -<li>Herramientas específicas para errores de XSS: -<ul> -<li><a href="http://freecode.com/projects/xsslint/">Xsslint</a></li> -<li><a href="http://www.devitry.com/screamingCSS.html">ScreamingCSS</a></li> -</ul></li> -<li>Herramientas para probar navegadores web: -<ul> -<li><a href="http://www.securityfocus.com/archive/1/378632">MangleMe</a></li> -</ul></li> -</ul> - -<p>Ninguna de las herramientas es perfecta, y sólo se pueden usar como guías - para un posterior estudio, pero dado que su uso es muy sencillo, es preferible - invertir algo de tiempo en probarlas.</p> - -<p>Cada una de las herramientas tienen distintos puntos fuertes y débiles, por - lo que se recomienda usar más de una.</p> - - -<h2>Flawfinder</h2> - -<p>flawfinder es una herramienta de Python diseñada para analizar código fuente - C y C++ en busca de potenciales debilidades de seguridad.</p> - -<p>Cuando se hace funcionar sobre un directorio que contiene código fuente, - se obtiene un informe de los problemas potenciales que ha detectado, - ordenados por riesgo (<i>riesgo</i> es un entero de 1 a 5). Para obviar los - riesgos menores, es posible decirle al programa que no informe sobre debilidades - menores de un nivel de riesgo particular. De forma predefinida, la salida - aparecerá en texto plano, pero también hay disponible un informe en HTML.</p> - -<p>El programa funciona escaneando el código y buscando el uso de las funciones - que tiene en su base de datos de funciones que normalmente se usan mal.</p> - -<p>Para facilitar la lectura del informe, se puede indicar que contenga la - línea en la que se usa la función, lo que puede ser útil apra detectar un - problema inmediatamente, ya que de otra forma podría ser imposible.</p> - -<p>Puede ver un ejemplo de uso de flawfinder y de su salida en la <a - href="examples/">sección de ejemplos de auditoría</a>.</p> - - -<h2>ITS4</h2> - -<p>ITS4 es una herramienta que pertenece a la sección non-free (no libre) del - archivo de Debian, y sólo está disponible para la distribución - <q>woody</q>.</p> - -<p>ITS4 se puede usar para buscar potenciales agujeros de seguridad en C y - C++, al igual que flawfinder.</p> - -<p>La salida que produce pretende ser inteligente, ya que no tiene en cuenta - algunos de los casos en los que las llamadas a las funciones peligrosas se han - hecho con cuidado.</p> - - -<h2>RATS</h2> - -<p>RATS es una herramienta similar a las citadas anteriormente, con la excepción - de que admite un mayor abanico de lenguajes. En la actualidad, tiene soporte para - C, C++, Perl, PHP y Python.</p> - -<p>La herramienta usa un archivo XML sencillo para leer sus vulnerabilidades, lo que - la convierte en una de las herramientas más sencillas para hacer modificaciones. - Fácilmente se pueden añadir funciones nuevas para cada uno de los lenguajes - soportados.</p> - -<p>Puede ver un ejemplo de uso de RATS y de su salida en la <a - href="examples/">sección de ejemplos de auditoría</a>.</p> - - -<h2>pscan</h2> - -<p>pscan difiere de las herramientas anteriores en que no es un analizador de - propósito general. Se trata de un programa específico para ayudar a detectar - errores de cadena de formato.</p> - -<p>La herramienta intentará encontrar incidencias en el uso de funciones variadic - (n.t. que no siempre toman el mismo número de argumentos) en código fuente C y - C++, como <tt>printf</tt>, <tt>fprintf</tt> y <tt>syslog</tt>.</p> - -<p>Los errores de cadena de formato son bastante sencillos de detectar y corregir. - A pesar de que sean el tipo más reciente de ataques de software, la mayoría de ellos - ya se pueden descubrir y reparar.</p> - -<p>Puede ver un ejemplo de uso de pscan y de su salida en la <a - href="examples/">sección de ejemplos de auditoría</a>.</p> - - -<h2>Comprender la salida del analizador</h2> - -<p>Cada una de las herramientas generales de análisis incluye una salida que - describe la debilidad detectada y, posiblemente, algunos consejos para reparar - el código.</p> - -<p>Por ejemplo, lo siguiente se ha tomado de la salida de RATS y describe el peligro - de <tt>getenv</tt>:</p> - -<p>"Environment variables are highly untrustable input. They may be of -any length, and contain any data. Do not make any assumptions regarding -content or length. If at all possible avoid using them, and if it is -necessary, sanitize them and truncate them to a reasonable length."</p> - -<p>Si necesita alguna pista más para corregir un agujero del que ya se ha - informado, debería estudiar un libro de programación segura, como <a - href="http://www.dwheeler.com/secure-programs/">Secure Programming for Linux and Unix HOWTO</a> - (n.t. en inglés), de David A. Wheeler.</p> - -<p>(Cuando informe de las cuestiones de seguridad, recuerde que se aprecia mucho un - parche que cierre el agujero).</p> - -<p>Las discusiones relativas a cerrar un trozo de código problemático también se - pueden llevar a cabo en la <a - href="https://lists.debian.org/debian-security/">lista de correo debian- - security</a>, simplemente, al ser ésta una lista pública con archivos públicos, tenga cuidado de no ser demasiado explícito a la hora de decir qué - programa tiene la debilidad.</p> - |