Informations sur la sécurité sous FreeBSD
Introduction
Cette page web a été conçue afin d'accompagner les utilisateurs, nouveaux venus ou expérimentés, dans le domaine de la sécurité de FreeBSD. FreeBSD prend la sécurité très au sérieux et travaille sans cesse pour rendre le système d'exploitation aussi sûr que possible.
Vous trouverez ici des informations complémentaires, ou des liens vers d'autres ressources, qui vous aideront à protéger votre système contre différents types d'attaques, sur qui contacter si vous trouvez une éventuelle faille, etc. Les programmeurs systèmes seront heureux de trouver une section traitant des techniques à employer pour éviter avant toute chose de créer soi-même des failles.
Table des Matières
- Comment et où rapporter un problème de sécurité dans FreeBSD
- Informations sur l'officier de sécurité FreeBSD
- Charte de l'officier de sécurité et de son équipe
- Politique de gestion de l'information
- Avis de sécurité FreeBSD
- Lire les avis de sécurité FreeBSD
Tout problème de sécurité FreeBSD doit être rapporté à l'équipe de sécurité FreeBSD ou, si plus de confidentialité est nécessaire, à l'équipe de l'officier de sécurité. Chaque rapport devrait contenir au moins:
- Une description de la vulnérabilité;
- Quelles version de FreeBSD semblent affectées si possible;
- Toute solution potentielle;
- Un exemple de code si possible.
Après que cette information ait été rapportée, l'officier de sécurité ou un membre de l'équipe de sécurité reviendra à vous.
L'officier de sécurité FreeBSD et l'equipe de l'officier de Sécurité
Pour mieux coordonner les échanges avec d'autres personnes dans la communauté de la sécurité, FreeBSD a une personne centrale pour toute communication liée à la sécurité: l'officier de sécurité FreeBSD.
Si vous voulez contacter le projet FreeBSD à propos d'un problème de sécurité possible, vous devez donc envoyez un courrier électronique à l'officier de sécurité avec une description de ce que vous avez trouvé et le type de vulnérabilité qu'il présente.
Pour que le projet FreeBSD réponde plus rapidement aux rapports de vulnérabilité, il y a quatre membres derrière l'alias courrier électronique de l'officier de sécurité: l'officier de sécurité, l'officier de sécurité émérite, l'officier de sécurité adjoint, et un membre de l'équipe de base. En conséquence, les messages envoyés à <security-officer@FreeBSD.org> seront transmis à:
| Colin Percival <cperciva@FreeBSD.org> | Officier de sécurité |
| Jacques Vidrine <nectar@FreeBSD.org> | Officier de sécurité émérite |
| Simon L. B. Nielsen <simon@FreeBSD.org> | Officier de sécurité adjoint |
| Robert Watson <rwatson@FreeBSD.org> | Liaison avec l'équipe de base FreeBSD, liaison avec
l'équipe chargée des versions, liaison avec le projet TrustedBSD, expert en architecture de la sécurité système |
L'Officier de sécurité est supporté par l'équipe de sécurité FreeBSD <secteam@FreeBSD.org>, un petit groupe de participants contrôlé par l'officier de sécurité.
Veuillez utiliser la clé PGP de l'officier de sécurité pour chiffrer vos messages à l'officier de sécurité si approprié.
Politiques de gestion de l'information
En général, l'officier de sécurité FreeBSD privilégie la transparence totale sur les vulnérabilités après un delai raisonnable pour permettre d'analyser et de corriger une vulnérabilité, ainsi que de tester de manière appropriée ce correctif, et de se coordonner avec les autres parties affectées.
L'officier de sécurité informera un ou plusieurs administrateurs du cluster FreeBSD de vulnérabilités mettant les ressources du projet FreeBSD en danger immédiat.
L'officier de sécurité peut contacter d'autres développeurs FreeBSD ou des développeurs extérieurs à propos d'une vulnérabilité si leur expertise est nécessaire pour comprendre ou corriger le problème. Une discrétion appropriée permettra de minimiser la fuite d'information non nécessaire sur la vulnérabilité soumise, et tout expert contacté devra suivre la politique de l'officier de sécurité. Dans le passé, des experts ont été contactés à cause de leur expérience importante sur des composants complexes du système d'exploitation, comme FFS, la mémoire virtuelle, et la pile réseau.
Si une nouvelle version de FreeBSD est en préparation, le responsable de la sortie de nouvelles versions peut être informé que la vulnérabilité existe, et de sa sévérité, pour que des décisions soient prises sur le cycle de sortie des versions et sur les bogues présents dans une version sur le point de sortir. Si ceci est demandé, l'officier de sécurité ne partagera pas la nature exacte de la vulnérabilité avec le responsable de la sortie de nouvelles versions, limitant ainsi les informations à l'existence et la sévérité.
L'officier de sécurité travaille étroitement avec de nombreuses autres organisations, comme des vendeurs partageant du code avec FreeBSD (les projets OpenBSD, NetBSD et DragonFlyBSD, Apple, et d'autres vendeurs utilisant des logiciels de FreeBSD, ainsi que la liste sécurité des vendeurs Linux), ainsi que des organisations recensant les vulnérabilités et les incidents de sécurité comme le CERT. Souvent, les vulnérabilités s'étendent au delà de l'implémentation de FreeBSD, et (moins fréquemment) ont de larges implications sur la communauté du réseau global. Dans de telles circonstances, l'officier de sécurité peut souhaiter divulguer cette information à ces autres organisations : si vous ne voulez pas que l'officier de sécurité fasse ceci, veuillez l'indiquer explicitement dans votre soumission.
La personne soumettant une vulnérabilité doit veiller à mentionner explicitement toute gestion spéciale de l'information.
Si la personne soumettant une vulnérabilité est interessée par une divulgation coordonnée avec elle et/ou d'autres vendeurs, ceci doit être indiqué explicitement dans la soumission. En l'absence de demande explicite, l'officier de sécurité FreeBSD choisira un calendrier de divulgation qui reflète à la fois une divulgation rapide et des tests appropriés de toute solution. Il faut savoir que si la vulnérabilité est révélée sur des forums publics (comme bugtraq), et qu'elle est exploitée, l'officier de sécurité peut choisir de ne pas suivre le calendrier proposé pour protéger au maximum la communauté des utilisateurs.
Les soumissions peuvent être protégées avec PGP. Si ceci est désiré, les réponses seront également protégées avec PGP.
Avis de sécurité FreeBSD
L'officier de sécurité FreeBSD publie des avis de sécurité pour différentes branches de FreeBSD. Celles-ci sont les branches -STABLES et les branches de sécurité. (les avis ne sont pas publiés pour la branche -CURRENT.)
Il n'y a en général qu'une branche -STABLE, bien que durant la transition d'une ligne de développement à une autre (comme de FreeBSD 4.X à 5.X), il y a une période durant laquelle il y a 2 branches -STABLE. Les étiquettes des branches stables ont des noms comme RELENG_4. Les compilations correspondantes ont des noms comme FreeBSD 4.10-STABLE.
Chaque version de FreeBSD a une branche de sécurité associée. Les étiquettes des branches de sécurité ont des noms comme RELENG_4_10. Les compilations correspondantes ont des noms comme FreeBSD 4.10-RELEASE-p5.
Les problèmes touchant le catalogue des logiciels portés FreeBSD sont couverts dans le document FreeBSD VuXML.
Chaque branche est supportée par l'officier de sécurité pour une durée limitée, et a un type parmi `Premiers Utilisateurs', `Normale', ou `Etendue'. Ce type est utilisé pour déterminer la durée de vie de la branche comme suit.
- Premiers utilisateurs
- Les versions publiées à partir de la branche -CURRENT seront supportées un minimum de 6 mois après leur sortie.
- Normale
- Les versions publiées à partir de la branche -STABLE seront supportées par l'officier de sécurité durant un minimum de 12 mois après leur sortie.
- Etendue
- Des versions choisies seront supportées par l'officier de sécurité durant un minimum de 24 mois aprè leur sortie.
Le type et la durée de vie estimée des branches actuellement supportées sont données ci-dessous. La colonne Fin de vie estimée donne la date minimale lors de laquelle cette branche ne sera plus supportée. Veuillez noter que ces dates peuvent être étendues dans le futur, mais que seules des circonstances exeptionnelles feraient que le support soit arrêté plus tôt que la date prévue.
| Branche | Version | Type | Date de Sortie | Fin de vie estimée |
|---|---|---|---|---|
| RELENG_4 | n/a | n/a | n/a | 31 Janvier 2007 |
| RELENG_4_10 | 4.10-RELEASE | Etendue | 27 Mai 2004 | 31 Mai 2006 |
| RELENG_4_11 | 4.11-RELEASE | Etendue | 25 Janvier 2005 | 31 Janvier 2007 |
| RELENG_5 | n/a | n/a | n/a | 31 Mai 2008 |
| RELENG_5_3 | 5.3-RELEASE | Etendue | 6 Novembre 2004 | 31 Octobre 2006 |
| RELENG_5_4 | 5.4-RELEASE | Normale | 9 Mai 2005 | 31 Octobre 2006 |
| RELENG_5_5 | 5.5-RELEASE | Etendue | 25 Mai 2006 | 31 Mai 2008 |
| RELENG_6 | n/a | n/a | n/a | 31 Mai 2008 |
| RELENG_6_0 | 6.0-RELEASE | Normale | 4 Novembre 2005 | 30 Novembre 2006 |
| RELENG_6_1 | 6.1-RELEASE | Etendue | 9 Mai 2006 | 31 Mai 2008 |
Les versions plus anciennes ne sont plus maintenues et les utilisateurs sont vivement incités à mettre leur système à jour vers une branche mentionnée ci-dessus.
Quelques statistiques sur les avis de sécurité émis en 2002:
- 44 avis de différentes sévérités ont été émis pour le système de base.
- 12 avis ont décrit des vulnérabilités concernant uniquement FreeBSD. Les 32 restants étaient des problèmes qui concernaient au moins un autre système d'exploitation (souvent parce que le code source était commun).
- 6 notices de sécurité ont été publiées, couvrant un total de 95 problèmes dans les applications tierces inclues dans le catalogue des logiciels portés.
Les avis sont envoyés aux listes de diffusion FreeBSD suivantes:
- FreeBSD-security-notifications@FreeBSD.org
- FreeBSD-security@FreeBSD.org
- FreeBSD-announce@FreeBSD.org
Les avis sont toujours signés avec la clé PGP de l'officier de sécurité FreeBSD et sont archivés, aux côtés de leurs correctifs, sur notre dépôt FTP CERT. A ce jour, les avis suivants sont disponibles (notez que cette liste a peut-être quelques jours de retard - pour les tout derniers avis, veuillez consulter le site FTP):