Re: security/faq.wml
Hier das Original, die Arbeitskopie und das diff.
Vorschlag für die Commit-Nachricht:
---------------------------------------------------
Translation work from Holger Wansing:
- Synced security/faq.wml to english revision 1.75
- Some small changes for consistency:
- Sicherheitsteam -> Sicherheits-Team
- Sicherheitsfehler -> Sicherheitsproblem
---------------------------------------------------
Holger
--
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
Created with Sylpheed 3.0.2
under DEBIAN GNU/LINUX 6.0 - S q u e e z e
Registered LinuxUser #311290 - http://counter.li.org/
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
--- faq_orig.wml 2011-02-15 22:07:12.000000000 +0100
+++ faq_workingcopy.wml 2011-02-15 23:24:39.000000000 +0100
@@ -1,7 +1,8 @@
#use wml::debian::template title="Debian Sicherheits-FAQ"
-#use wml::debian::translation-check translation="1.70"
+#use wml::debian::translation-check translation="1.75"
# $Id: faq.wml,v 1.89 2011/02/04 17:21:24 kreutzm-guest Exp $
# Translation: Gerfried Fuchs <alfie@debian.org>
+# Updated: Holger Wansing <linux@wansing-online.de>, 2011
#include "$(ENGLISHDIR)/security/faq.inc"
<p>Zurzeit erreichen uns die folgenden Fragen etwas zu oft, deshalb wurden
@@ -73,7 +74,7 @@
Sicherheits-Team die Pakete gemeinsam mit dem Paketbetreuer vor. Sofern
jemand (ein Vertrauenswürdiger) das Problem analysiert, alle benötigten Pakete
übersetzt und diese an das Sicherheits-Team übermittelt, dann können auch
- sehr kleine Sicherheits-Reparaturen auf security.debian.org erscheinen.
+ sehr kleine Sicherheitsreparaturen auf security.debian.org erscheinen.
Lesen Sie dazu bitte auch unterhalb weiter.</p>
<p>Sicherheitsaktualisierungen dienen einem Zweck: Eine Behebung für eine
@@ -83,7 +84,7 @@
<toc-add-entry name=localremote>Was bedeutet <q>lokal (aus der Ferne)</q>?</toc-add-entry>
-<p>A:Einige Ankündigungen decken Verwundbarkeiten ab, die nicht mit dem klassischen
+<p>A: Einige Ankündigungen decken Verwundbarkeiten ab, die nicht mit dem klassischen
Schema von lokalen und Verwundbarkeiten aus der Ferne identifiziert werden
können. Einige Verwundbarkeiten können nicht aus der Ferne ausgenutzt werden,
d.h. sie entsprechen nicht einem Daemon, der auf einer Netzschnittstelle
@@ -112,6 +113,23 @@
Debian-Sicherheitsankündigungen vergleichen.</p>
+<toc-add-entry name=archismissing>Ich habe eine Ankündigung erhalten, aber
+ der Build des Pakets für eine Prozessorarchitektur scheint zu
+ fehlen.</toc-add-entry>
+<p>A: Im Allgemeinen veröffentlicht das Sicherheits-Team
+ Sicherheitsankündigungen mit Builds der aktualisierten Pakete für alle
+ Architekturen, die Debian unterstützt. Allerdings sind einige
+ Architekturen schneller als andere und es könnte vorkommen, dass die
+ Builds für die meisten Architekturen fertig sind, während einige noch
+ fehlen. Diese seltener verwendeten Architekturen repräsentieren einen
+ kleinen Teil unserer Benutzerbasis. Abhängig von der Dringlichkeit des
+ Problems könnten wir uns dafür entscheiden, die Ankündigung ohne weitere
+ Verzögerung zu veröffentlichen. Die fehlenden Builds werden installiert,
+ sobald sie verfügbar sind, jedoch ohne einen weiteren Hinweis hierzu.
+ Natürlich werden wir niemals eine Ankündigung veröffentlichen, wenn
+ dazu die Builds für i386 oder amd64 noch nicht vorhanden sind.</p>
+
+
<toc-add-entry name=unstable>Wie wird die Sicherheit für <tt>Unstable</tt>
gehandhabt?</toc-add-entry>
<p>A: Die kurze Antwort ist: gar nicht. Unstable ist starken Ã?nderungen
@@ -134,11 +152,11 @@
http://security.debian.org</a>-Infrastruktur erledigt werden. Um diese
zu benutzen, muss die folgende Zeile in <code>/etc/apt/sources.list</code>
enthalten sein:</p>
-<p><code>deb http://security.debian.org testing/updates main</code></p>
+ <p><code>deb http://security.debian.org <codename>/updates main</code></p>
<p>Führen Sie dann <code>apt-get update && apt-get upgrade</code> wie
gewohnt aus.</p>
<p>Beachten Sie, dass dies nicht garantiert, dass alle bekannten
- Sicherheitsfehler in Testing behoben sind! Einige aktualisierte Pakete
+ Sicherheitsprobleme in Testing behoben sind! Einige aktualisierte Pakete
könnten auf den �bergang nach Testing warten.
Weitere Informationen über die Sicherheits-Infrastruktur für Testing kann
unter <a href="http://secure-testing-master.debian.net/";>\
@@ -207,11 +225,17 @@
team@security.debian.org geschickt werden, unter beiden Adressen
erreichen Sie die Mitglieder des Sicherheits-Teams.</p>
+<p>Wenn Sie Paketbetreuer sind und uns bezüglich eines Problems in einem
+ Ihrer Pakete kontaktieren möchten, erzeugen Sie bitte
+ <a href="http://wiki.debian.org/rt.debian.org#SecurityTeam";>ein Ticket
+ in unserem Request Tracker</a>. Falls Sie PGP-Verschlüsselung verwenden
+ möchten, ist es jedoch besser, eine reguläre E-Mail zu nutzen.</p>
+
<p>Falls gewünscht, können
die E-Mails mit dem Debian-Sicherheitskontakt-Schlüssel (Schlüssel-ID
<a href="http://pgpkeys.pca.dfn.de/pks/lookup?search=0x68B64E0D&op=vindex";>\
0x68B64E0D</a>) verschlüsselt werden. Für die PGP-/GPG-Schlüssel der
- Mitglieder des Sicherheitsteams schauen Sie bitte auf den Schlüsselserver
+ Mitglieder des Sicherheits-Teams schauen Sie bitte auf den Schlüsselserver
<a href="http://keyring.debian.org/";>keyring.debian.org</a>.</p>
@@ -240,8 +264,9 @@
meiner Pakete tun?</toc-add-entry>
<p>A: Wenn Sie von einem Sicherheitsproblem erfahren, sei es
in einem Ihrer Pakete oder in dem eines anderen,
- kontaktieren Sie bitte immer das Sicherheits-Team. Sie
- können es mit einer E-Mail an team@security.debian.org erreichen. Die
+ kontaktieren Sie bitte immer das Sicherheits-Team, vorzugsweise
+ indem Sie ein Ticket im Request Tracker erzeugen. Sie können das Team
+ aber auch per E-Mail an team@security.debian.org erreichen. Die
Mitglieder des Teams
behalten die �bersicht über offene Sicherheitsprobleme, können den
Betreuern mit Sicherheitsproblemen helfen oder die Probleme selbst beheben
@@ -253,7 +278,7 @@
tun ist.</p>
<p>Es ist im Speziellen wichtig, dass Sie Pakete in keine andere Distribution
- auÃ?er Unstable ohne vorherige Zustimmung vom Sicherheitsteam hochladen, da
+ auÃ?er Unstable ohne vorherige Zustimmung vom Sicherheits-Team hochladen, da
das Umgehen davon Verwirrung stiftet und weiteren Aufwand verursacht.</p>
@@ -276,9 +301,10 @@
<toc-add-entry name=upload>Ich habe eine Fehlerbehebung, kann ich direkt auf
security.debian.org hochladen?</toc-add-entry>
<p>A: Nein, können Sie nicht. Das Archiv auf security.debian.org wird vom
- Sicherheitsteam betreut, das alle Pakete genehmigen muss. Sie sollten
+ Sicherheits-Team betreut, das alle Pakete genehmigen muss. Sie sollten
stattdessen Patches oder passende Quellcode-Pakete an das Sicherheits-Team
- unter team@security.debian.org schicken. Diese werden dann vom
+ schicken, entweder über den Request Tracker oder via
+ team@security.debian.org. Diese werden dann vom
Sicherheits-Team überprüft und gegebenenfalls hochgeladen, entweder mit
oder ohne Ã?nderungen.</p>
#use wml::debian::template title="Debian Sicherheits-FAQ"
#use wml::debian::translation-check translation="1.70"
# $Id: faq.wml,v 1.89 2011/02/04 17:21:24 kreutzm-guest Exp $
# Translation: Gerfried Fuchs <alfie@debian.org>
#include "$(ENGLISHDIR)/security/faq.inc"
<p>Zurzeit erreichen uns die folgenden Fragen etwas zu oft, deshalb wurden
die Antworten dazu hier zusammengefasst.</p>
<maketoc>
<toc-add-entry name=signature>Die Signatur eurer Ankündigungen kann nicht
korrekt verifiziert werden!</toc-add-entry>
<p>A: Das ist höchstwahrscheinlich ein Problem auf Ihrer Seite. Die
<a href="http://lists.debian.org/debian-security-announce/";>\
debian-security-announce</a> Liste besitzt einen Filter, der es nur erlaubt,
Nachrichten mit einer korrekten Signatur eines Mitglieds des
Sicherheits-Teams zu versenden.</p>
<p>Die häufigste Ursache dafür ist zumeist ein E-Mail-Programm auf Ihrer Seite,
das die Nachricht leicht verändert und dadurch die Signatur ungültig macht.
Versichern Sie sich, dass Ihre Software keine MIME-Entschlüsselung oder
-Verschlüsselung durchführt und auch keine
Tabulator/Leerzeichen-Konvertierungen vornimmt.</p>
<p>Bekannte �beltäter sind fetchmail (mit der Option mimedecode),
formail (von procmail 3.14) und evolution.</p>
<toc-add-entry name="handling">Wie wird die Sicherheit in Debian
gehandhabt?</toc-add-entry>
<p>A: Wenn das Sicherheits-Team auf einen Vorfall aufmerksam wird, überprüfen
ihn ein oder mehrere Mitglieder und überlegen seinen Einfluss auf das
Stable-Release von Debian (z.B. ob es verwundbar ist oder nicht). Wenn
unser System verwundbar ist, arbeiten wir an einer Problembehebung.
Der Paketbetreuer wird ebenfalls kontaktiert, wenn dieser
nicht bereits selbst das Sicherheits-Team kontaktiert hat.
Schlussendlich wird die Behebung des Problems getestet und neue Pakete
vorbereitet, die dann auf allen Stable-Architekturen übersetzt und
anschlieÃ?end hochgeladen werden. Nachdem das alles geschehen ist, wird
eine Ankündigung veröffentlicht.</p>
<toc-add-entry name=oldversion>Wieso trödeln Sie mit einer alten Version des
Pakets herum?</toc-add-entry>
<p>Die wichtigste Regel beim Erstellen eines neuen Pakets, das ein
Sicherheitsproblem behebt, ist, so wenig �nderungen wie möglich vorzunehmen.
Unsere Benutzer und Entwickler vertrauen auf das genaue Verhalten eines
Releases nach dessen Freigabe, daher kann jede Ã?nderung, die wir
durchführen, möglicherweise das System von jemandem zerstören. Dies gilt
insbesondere für Bibliotheken: Es muss darauf geachtet werden, dass sich das
Anwendungs-Programm-Interface (API) oder Anwendungs-Binär-Interface (ABI)
niemals ändert, egal wie klein die �nderung ist.</p>
<p>Dies bedeutet, dass das Umsteigen auf eine neue Upstream-Version keine gute
Lösung ist und stattdessen die relevanten �nderungen zurückportiert werden
sollten. Ã?blicherweise sind die Upstream-Betreuer, wenn notwendig, bereit zu
helfen, falls das Debian Sicherheits-Team nicht helfen kann.</p>
<p>In einigen Fällen ist es nicht möglich, eine Sicherheitsreparatur
zurückzuportieren, zum Beispiel, wenn ein gro�er Teil des Quellcodes
modifiziert oder neu geschrieben werden muss. Wenn dies passiert, kann es
notwendig sein, auf eine neue Upstream-Version umzusteigen, aber dies muss
zuvor mit dem Sicherheits-Team koordiniert werden.</p>
<toc-add-entry name=policy>Was sind die Richtlinien für ein repariertes Paket,
um auf security.debian.org zu erscheinen?</toc-add-entry>
<p>A: Sicherheits-Lücken in der Stable-Distribution garantieren, dass ein Paket
zu security.debian.org hinzugefügt wird. Alles andere tut das nicht.
Die Grö�e der Lücke
ist hier nicht das wirkliche Problem. Ã?blicherweise bereitet das
Sicherheits-Team die Pakete gemeinsam mit dem Paketbetreuer vor. Sofern
jemand (ein Vertrauenswürdiger) das Problem analysiert, alle benötigten Pakete
übersetzt und diese an das Sicherheits-Team übermittelt, dann können auch
sehr kleine Sicherheits-Reparaturen auf security.debian.org erscheinen.
Lesen Sie dazu bitte auch unterhalb weiter.</p>
<p>Sicherheitsaktualisierungen dienen einem Zweck: Eine Behebung für eine
Sicherheitsverwundbarkeit zu bieten. Sie sind keine Methode, um zusätzliche
Ã?nderungen in das Stable-Release einzubringen, ohne diese die normale
Point-Release-Prozedur durchmachen zu lassen.</p>
<toc-add-entry name=localremote>Was bedeutet <q>lokal (aus der Ferne)</q>?</toc-add-entry>
<p>A:Einige Ankündigungen decken Verwundbarkeiten ab, die nicht mit dem klassischen
Schema von lokalen und Verwundbarkeiten aus der Ferne identifiziert werden
können. Einige Verwundbarkeiten können nicht aus der Ferne ausgenutzt werden,
d.h. sie entsprechen nicht einem Daemon, der auf einer Netzschnittstelle
horcht. Falls sie durch spezielle Dateien ausgenutzt werden können, die
über das Netz bereit gestellt werden, während der verwundbare Dienst nicht
permanent mit dem Netz verbunden ist, schreiben wir in diesen Fällen <q>lokal
(aus der Ferne)</q>.
</p>
<p>Diese Verwundbarkeiten liegen irgendwo zwischen lokalen und solchen aus der
Ferne und decken oft Archive ab, die über das Netz bereitgestellt werden
könnten, z.B. E-Mail-Anhänge oder von einer Download-Seite.
</p>
<toc-add-entry name=version>Die Versionsnummer für ein Paket zeigt an, dass
ich immer noch eine verwundbare Version verwende!</toc-add-entry>
<p>A: Anstatt auf ein neues Release zu aktualisieren, portieren wir die
Sicherheits-Fixes auf die Version zurück, die mit dem Stable-Release
ausgeliefert wurde. Wir tun dies, um zu garantieren,
dass eine Veröffentlichung so wenig wie möglich ändert, damit sich als
Resultat des Sicherheits-Fixes nichts ändert oder unerwartet Probleme
verursacht werden. Sie können überprüfen, ob Sie eine sichere Version eines
Paketes verwenden, indem Sie die changelog-Datei des Paketes ansehen, oder
seine exakte Versionsnummer mit der angezeigten Version im
Debian-Sicherheitsankündigungen vergleichen.</p>
<toc-add-entry name=unstable>Wie wird die Sicherheit für <tt>Unstable</tt>
gehandhabt?</toc-add-entry>
<p>A: Die kurze Antwort ist: gar nicht. Unstable ist starken Ã?nderungen
unterworfen und das Sicherheits-Team hat nicht die Mittel, die benötigt
würden, um diese entsprechend zu unterstützen. Falls Sie einen sicheren (und
stabilen) Server benötigen, wird Ihnen nachdrücklich empfohlen, bei Stable
zu bleiben.</p>
<toc-add-entry name=testing>Wie wird die Sicherheit für <tt>Testing</tt>
gehandhabt?</toc-add-entry>
<p>A: Falls Sie einen sicheren (und stabilen) Server benötigen, wird Ihnen
nachdrücklich empfohlen, bei Stable zu bleiben. Allerdings gibt es
Sicherheitsunterstützung für Testing: Das Debian
Testing-Security-Team behandelt Probleme von Testing. Es stellt sicher,
dass die korrigierten
Pakete Testing auf dem normalen Weg durch Migration aus Unstable (mit
reduzierter Quarantäne-Zeit) erreichen oder, falls das zu lange
dauert, sie über die normale <a href="http://security.debian.org";>\
http://security.debian.org</a>-Infrastruktur erledigt werden. Um diese
zu benutzen, muss die folgende Zeile in <code>/etc/apt/sources.list</code>
enthalten sein:</p>
<p><code>deb http://security.debian.org testing/updates main</code></p>
<p>Führen Sie dann <code>apt-get update && apt-get upgrade</code> wie
gewohnt aus.</p>
<p>Beachten Sie, dass dies nicht garantiert, dass alle bekannten
Sicherheitsfehler in Testing behoben sind! Einige aktualisierte Pakete
könnten auf den �bergang nach Testing warten.
Weitere Informationen über die Sicherheits-Infrastruktur für Testing kann
unter <a href="http://secure-testing-master.debian.net/";>\
http://secure-testing-master.debian.net/</a> gefunden werden.</p>
<toc-add-entry name=contrib>Wie wird die Sicherheit für <tt>contrib</tt> und
<tt>non-free</tt> gehandhabt?</toc-add-entry>
<p>A: Die kurze Antwort ist: gar nicht. Contrib und non-free sind nicht
offizieller Bestandteil der Debian-Distribution und werden nicht
freigegeben und daher nicht vom Sicherheits-Team unterstützt. Einige
non-free Pakete werden ohne Quellcode oder ohne eine Lizenz vertrieben,
die die Verteilung von geänderten Versionen erlaubt. In diesen Fällen ist
es überhaupt nicht möglich, Sicherheitsreparaturen durchzuführen.
Falls es möglich ist, das Problem zu beheben und der Paketbetreuer oder
jemand anderes korrekte, aktualisierte Pakete zur Verfügung stellt, wird
das Security-Team diese normalerweise bearbeiten und eine Ankündigung
veröffentlichen.</p>
<toc-add-entry name=sidversionisold>Die Ankündigung sagt, dass Unstable in
Version 1.2.3-1 korrigiert sei, aber 1.2.5-1 ist in Unstable. Was ist
hier los?</toc-add-entry>
<p>A: Wir versuchen, die erste Version in Unstable anzugeben, bei der das
Problem behoben wurde. Manchmal hat der Betreuer in der Zwischenzeit noch
neuere Versionen hochgeladen. Vergleichen Sie die Version in Unstable mit
der angegebenen Version. Falls Erstere identisch oder höher als Zweitere ist,
sollten Sie vor der Verwundbarkeit geschützt sein.</p>
<toc-add-entry name=mirror>Wieso gibt es keine offiziellen Spiegel-Server für
security.debian.org?</toc-add-entry>
<p>A: Tatsächlich gibt es diese. Es existieren mehrere offizielle Spiegel, die
über <acronym lang="en" title="Domain Name System">DNS</acronym>-Aliase
implementiert sind. Der Zweck von security.debian.org besteht darin,
Sicherheitsaktualisierungen so
schnell und einfach wie möglich zur Verfügung zu stellen.</p>
<p>Die Verwendung von inoffiziellen Spiegeln zu empfehlen, würde zusätzliche
Komplexität hinzufügen, die üblicherweise nicht benötigt wird und
frustrierend sein kann, falls diese Spiegel nicht aktuell gehalten werden.</p>
<toc-add-entry name=missing>Ich habe DSA 100 und DSA 102 gesehen, wo ist aber
DSA 101?</toc-add-entry>
<p>A: Einige Distributoren (hauptsächlich von GNU/Linux, aber auch von
BSD-Derivaten)
koordinieren Sicherheitsankündigungen für einige Vorfälle und stimmen einer
gemeinsamen Zeitlinie zu, damit alle Distributoren die Möglichkeit haben,
eine Ankündigung zur gleichen Zeit zu veröffentlichen. Dadurch soll verhindert
werden, dass ein Distributor diskriminiert wird, der mehr Zeit benötigt
(z.B. falls
der Hersteller längere Qualitätssicherungs-Tests für die Pakete durchführt,
oder mehrere Architekturen bzw. Binär-Distributionen unterstützt). Unser
eigenes Sicherheits-Team bereitet ebenfalls Ankündigungen im Vorhinein vor.
Es passiert immer wieder mal, dass andere Sicherheitsankündigungen früher
abgearbeitet werden müssen, als vorbereitete Ankündigungen veröffentlicht werden
können, und daher wird temporär eines oder mehrere Ankündigungen der Nummer
nach ausgelassen.</p>
<toc-add-entry name=contact>Wie erreiche ich das
Sicherheits-Team?</toc-add-entry>
<p>A: Sicherheitsinformationen können an security@debian.org oder
team@security.debian.org geschickt werden, unter beiden Adressen
erreichen Sie die Mitglieder des Sicherheits-Teams.</p>
<p>Falls gewünscht, können
die E-Mails mit dem Debian-Sicherheitskontakt-Schlüssel (Schlüssel-ID
<a href="http://pgpkeys.pca.dfn.de/pks/lookup?search=0x68B64E0D&op=vindex";>\
0x68B64E0D</a>) verschlüsselt werden. Für die PGP-/GPG-Schlüssel der
Mitglieder des Sicherheitsteams schauen Sie bitte auf den Schlüsselserver
<a href="http://keyring.debian.org/";>keyring.debian.org</a>.</p>
<toc-add-entry name=discover>Ich glaube, ich habe ein Sicherheitsproblem
entdeckt, was soll ich tun?</toc-add-entry>
<p>A: Wenn Sie von einem Sicherheitsproblem erfahren, entweder in Ihren eigenen
Paketen oder in denen eines anderen Entwicklers, dann kontaktieren Sie bitte
immer das Sicherheits-Team. Wenn das Debian-Sicherheits-Team die
Verwundbarkeit bestätigt und andere Distributoren höchstwahrscheinlich
ebenfalls davon betroffen sind, kontaktiert es diese üblicherweise auch.
Wenn die Verwundbarkeit noch nicht öffentlich bekannt ist, wird es
versuchen, die
Sicherheitsankündigungen mit den anderen Distributoren zu koordinieren, damit
alle Haupt-Distributionen synchron sind.</p>
<p>Falls die Verwundbarkeit bereits öffentlich bekannt ist, schreiben Sie
bitte unbedingt einen Fehlerbericht für das
Debian-Fehlerverfolgungssystem und markieren Sie ihn mit dem Tag
<q>security</q>.</p>
<p>Falls Sie ein Debian-Entwickler sind, <a href="#care">lesen Sie unten
weiter</a>.</p>
<toc-add-entry name=care>Was soll ich bei einem Sicherheitsproblem in einem
meiner Pakete tun?</toc-add-entry>
<p>A: Wenn Sie von einem Sicherheitsproblem erfahren, sei es
in einem Ihrer Pakete oder in dem eines anderen,
kontaktieren Sie bitte immer das Sicherheits-Team. Sie
können es mit einer E-Mail an team@security.debian.org erreichen. Die
Mitglieder des Teams
behalten die �bersicht über offene Sicherheitsprobleme, können den
Betreuern mit Sicherheitsproblemen helfen oder die Probleme selbst beheben
und sind verantwortlich für das Versenden der Sicherheitsankündigungen und die
Betreuung von security.debian.org.</p>
<p>Die <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
Entwicklerreferenz</a> enthält vollständige Informationen darüber, was zu
tun ist.</p>
<p>Es ist im Speziellen wichtig, dass Sie Pakete in keine andere Distribution
auÃ?er Unstable ohne vorherige Zustimmung vom Sicherheitsteam hochladen, da
das Umgehen davon Verwirrung stiftet und weiteren Aufwand verursacht.</p>
<toc-add-entry name=enofile>Ich habe versucht, ein Paket herunterzuladen, das
in einem der Sicherheitsankündigungen aufgeführt war, aber ich bekomme dabei
einen <q>file not found</q>-Fehler.</toc-add-entry>
<p>A: Immer, wenn eine neuere Fehlerbehebung ein älteres Paket auf
security.debian.org ersetzt, stehen die Chancen gut, dass das ältere
Paket gelöscht wird, wenn das neue installiert wird. Daher erhalten Sie
diesen <q>file not found</q>-Fehler. Wir wollen Pakete mit bekannten
Sicherheitslücken nicht länger als absolut notwendig verbreiten.</p>
<p>Bitte benutzen Sie die Pakete von den neuesten Sicherheitsankündigungen, die
über die <a href="http://lists.debian.org/debian-security-announce/";>\
debian-security-announce</a> Mailingliste verteilt werden. Am besten rufen
Sie einfach <code>apt-get update</code> auf, bevor Sie das Paket
aktualisieren.</p>
<toc-add-entry name=upload>Ich habe eine Fehlerbehebung, kann ich direkt auf
security.debian.org hochladen?</toc-add-entry>
<p>A: Nein, können Sie nicht. Das Archiv auf security.debian.org wird vom
Sicherheitsteam betreut, das alle Pakete genehmigen muss. Sie sollten
stattdessen Patches oder passende Quellcode-Pakete an das Sicherheits-Team
unter team@security.debian.org schicken. Diese werden dann vom
Sicherheits-Team überprüft und gegebenenfalls hochgeladen, entweder mit
oder ohne Ã?nderungen.</p>
<p>Wenn Sie nicht mit Sicherheits-Uploads vertraut sind und sich nicht 100%
sicher sind, dass Ihr Paket sauber ist, verwenden Sie bitte diesen Weg und
laden Sie Ihr Paket nicht in das incoming-Verzeichnis hoch. Das
Sicherheits-Team hat nur beschränkte Möglichkeiten, mit kaputten Paketen
umzugehen, speziell wenn diese keine saubere Versionsnummer haben. Pakete
können zurzeit nicht zurückgewiesen werden, und der
<acronym lang="en" title="Build Daemon">buildd</acronym> wäre irritiert,
wenn es möglich wäre. Daher sollten Sie bitte eine E-Mail schicken und helfen,
indem Sie dem Sicherheits-Team keine zusätzlichen Schmerzen
verursachen.</p>
<p>Die <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
Entwicklerreferenz</a> enthält vollständige Informationen darüber, was zu
tun ist.</p>
<toc-add-entry name=ppu>Ich habe eine Fehlerbehebung, kann ich diese
stattdessen nach proposed-updates hochladen?</toc-add-entry>
<p>A: Technisch gesehen können Sie es. Jedoch sollten Sie es nicht tun, da
dies böse mit der Arbeit des Sicherheits-Teams kollidieren kann. Pakete von
security.debian.org werden automatisch in das proposed-updates-Verzeichnis
kopiert. Falls ein Paket mit der gleichen oder einer höheren Versionsnummer
bereits in das Archiv eingespielt wurde, wird die Sicherheitsaktualisierung
vom Archiv-System zurückgewiesen. Auf diese Art wird die Stable-Distribution
die Sicherheitsaktualisierung für dieses Paket nicht
enthalten, auÃ?er, falls das <q>falsche</q> Paket im proposed-updates
Verzeichnis zurückgewiesen wurde. Bitte kontaktieren Sie stattdessen das
Sicherheits-Team: Fügen Sie alle
Details über die Verwundbarkeit bei und hängen die Quelldateien (d.h.
diff.gz- und dsc-Dateien) an die E-Mail an.</p>
<p>Die <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
Entwicklerreferenz</a> enthält vollständige Informationen darüber, was zu
tun ist.</p>
<toc-add-entry name=SecurityUploadQueue>Ich bin ziemlich sicher, dass meine
Pakete in Ordnung sind, wie kann ich sie hochladen?</toc-add-entry>
<p>A: Wenn Sie sich sehr sicher sind, dass ihre Pakete nichts zerstören, dass
die Version sauber ist (z.B. grö�er als die Version in Stable und kleiner
als die Version in Testing/Unstable), dass Sie kein Verhalten des Pakets
geändert haben, trotz des entsprechenden Sicherheitsproblems, dass Sie es
für die richtige Distribution übersetzt haben (das ist
<code>oldstable-security</code> oder <code>stable-security</code>), dass
das Paket den ursprünglichen Quellcode enthält, falls das Paket neu auf
security.debian.org ist, dass Sie bestätigen können, dass der Patch gegen
die aktuellste Version sauber ist und nur das entsprechende
Sicherheitsproblem betrifft (prüfen Sie mit <code>interdiff -z</code> und
beiden <code>.diff.gz</code>-Dateien), dass Sie den Patch zumindest
dreimal Korrektur gelesen haben, und dass <code>debdiff</code> keine
�nderungen anzeigt, dürfen Sie die Dateien in das incoming-Verzeichnis
<code>ftp://security-master.debian.org/pub/SecurityUploadQueue</code> auf security.debian.org
direkt hochladen. Bitte senden Sie auch eine Benachrichtigung mit allen
Details und Links an team@security.debian.org.</p>
<toc-add-entry name=help>Wie kann ich bei der Sicherheit helfen?</toc-add-entry>
<p>A: Bitte prüfen Sie jedes Problem nach, bevor Sie es an security@debian.org
berichten. Wenn es Ihnen möglich ist, Patches zur Verfügung zu stellen,
würde das den Prozess beschleunigen. Leiten Sie nicht einfach bugtraq-E-Mails
weiter, da wir diese bereits empfangen – teilen Sie uns
stattdessen zusätzliche Informationen zu Dingen mit, die auf bugtraq
gemeldet wurden.</p>
<p>Eine gute Art mit der Sicherheitsarbeit zu beginnen ist es, beim
Debian Security-Tracker zu helfen (<a
href="http://security-tracker.debian.org/tracker/data/report";>Anleitung</a>).</p>
<toc-add-entry name=proposed-updates>Was umfasst
proposed-updates?</toc-add-entry>
<p>A: Dieses Verzeichnis beinhaltet Pakete, die für die nächste Revision von
Debian Stable vorgeschlagen sind. Wann immer ein Paket von einem
Paketbetreuer für die Stable-Distribution hochgeladen wird, werden diese
im proposed-updates Verzeichnis abgelegt. Da Stable dafür gedacht ist,
stabil zu sein, werden keine automatischen Aktualisierungen durchgeführt. Das
Sicherheits-Team wird reparierte Pakete aus ihren Sicherheitsankündigungen für
Stable hochladen, jedoch werden diese zuerst in proposed-updates abgelegt.
Alle paar Monate prüft der Stable-Release-Manager die Liste der Pakete in
proposed-updates und diskutiert, ob ein Paket für Stable geeignet ist
oder nicht. Daraus wird ein neues Point-Release von Stable zusammengestellt
(z.B. 2.2r3 oder 2.2r4). Pakete, die nicht passen, werden wahrscheinlich
von proposed-updates ebenfalls zurückgewiesen.</p>
<p>Beachten Sie, dass vom Paketbetreuer (nicht vom Sicherheits-Team)
hochgeladene Pakete im Verzeichnis proposed-updates/ nicht vom
Sicherheits-Team unterstützt werden.</p>
<toc-add-entry name=composing>Wie setzt sich das Sicherheits-Team
zusammen?</toc-add-entry>
<p>A: Das Debian-Sicherheits-Team besteht aus <a href="../intro/organization">\
mehreren Beauftragten und Unterstützern</a>. Das Sicherheits-Team selbst
bestimmt die Leute, die dem Team beitreten.</p>
<toc-add-entry name=lifespan>Wie lange sind Sicherheitsaktualisierungen
vorgesehen?</toc-add-entry>
<p>A: Das Sicherheits-Team versucht eine stabile Distribution für in etwa ein
Jahr zu unterstützen, nachdem die nächste stabile Distribution freigegeben
wurde; auÃ?er, eine weitere stabile Distribution wird innerhalb dieser
Zeitspanne freigegeben. Es ist nicht möglich, drei Distributionen zu
unterstützen; die gleichzeitige Unterstützung für zwei ist bereits
schwierig genug.</p>
<toc-add-entry name=check>Wie kann ich die Integrität der Pakete prüfen?</toc-add-entry>
<p>A: Dieser Prozess umfasst das Prüfen der Release-Datei-Signatur gegen den
<a href="http://ftp-master.debian.org/archive-key-4.0.asc";>öffentlichen
Schlüssel</a>, der für die Archive verwendet wird. Die Release-Datei
enthält die MD5-Prüfsummen der Packages- und Sources-Dateien, die
MD5-Prüfsummen der Binär- und Quellcodepakete enthalten. Ausführlichere
Anweisungen, wie man die Paket-Integrität prüfen kann, können im
<a href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\
Securing-Debian-Handbuch</a> nachgelesen werden.</p>
<toc-add-entry name=break>Was soll ich tun, wenn ein zufälliges Paket nach
einer Sicherheitsaktualisierung nicht mehr funktioniert?</toc-add-entry>
<p>A: Zuerst sollten Sie herausfinden, warum dieses Paket nicht mehr
funktioniert und wie es mit der Sicherheitsaktualisierung
zusammenhängt. Danach sollten Sie sich an das
Sicherheits-Team wenden, wenn es ein schwerwiegendes
Problem ist, oder an den Stable-Release-Betreuer, wenn es
weniger schwerwiegend ist. Es geht hier um zufällige
Pakete, die nach der Aktualisierung eines anderen Paketes
nicht mehr funktionieren. Wenn Sie nicht herausfinden
können, was schief geht, aber eine Lösung gefunden haben,
wenden Sie sich auch an das Sicherheits-Team. Es könnte jedoch sein,
dass man Sie an den Stable-Release-Betreuer weiterleitet.</p>
#use wml::debian::template title="Debian Sicherheits-FAQ"
#use wml::debian::translation-check translation="1.75"
# $Id: faq.wml,v 1.89 2011/02/04 17:21:24 kreutzm-guest Exp $
# Translation: Gerfried Fuchs <alfie@debian.org>
# Updated: Holger Wansing <linux@wansing-online.de>, 2011
#include "$(ENGLISHDIR)/security/faq.inc"
<p>Zurzeit erreichen uns die folgenden Fragen etwas zu oft, deshalb wurden
die Antworten dazu hier zusammengefasst.</p>
<maketoc>
<toc-add-entry name=signature>Die Signatur eurer Ankündigungen kann nicht
korrekt verifiziert werden!</toc-add-entry>
<p>A: Das ist höchstwahrscheinlich ein Problem auf Ihrer Seite. Die
<a href="http://lists.debian.org/debian-security-announce/";>\
debian-security-announce</a> Liste besitzt einen Filter, der es nur erlaubt,
Nachrichten mit einer korrekten Signatur eines Mitglieds des
Sicherheits-Teams zu versenden.</p>
<p>Die häufigste Ursache dafür ist zumeist ein E-Mail-Programm auf Ihrer Seite,
das die Nachricht leicht verändert und dadurch die Signatur ungültig macht.
Versichern Sie sich, dass Ihre Software keine MIME-Entschlüsselung oder
-Verschlüsselung durchführt und auch keine
Tabulator/Leerzeichen-Konvertierungen vornimmt.</p>
<p>Bekannte �beltäter sind fetchmail (mit der Option mimedecode),
formail (von procmail 3.14) und evolution.</p>
<toc-add-entry name="handling">Wie wird die Sicherheit in Debian
gehandhabt?</toc-add-entry>
<p>A: Wenn das Sicherheits-Team auf einen Vorfall aufmerksam wird, überprüfen
ihn ein oder mehrere Mitglieder und überlegen seinen Einfluss auf das
Stable-Release von Debian (z.B. ob es verwundbar ist oder nicht). Wenn
unser System verwundbar ist, arbeiten wir an einer Problembehebung.
Der Paketbetreuer wird ebenfalls kontaktiert, wenn dieser
nicht bereits selbst das Sicherheits-Team kontaktiert hat.
Schlussendlich wird die Behebung des Problems getestet und neue Pakete
vorbereitet, die dann auf allen Stable-Architekturen übersetzt und
anschlieÃ?end hochgeladen werden. Nachdem das alles geschehen ist, wird
eine Ankündigung veröffentlicht.</p>
<toc-add-entry name=oldversion>Wieso trödeln Sie mit einer alten Version des
Pakets herum?</toc-add-entry>
<p>Die wichtigste Regel beim Erstellen eines neuen Pakets, das ein
Sicherheitsproblem behebt, ist, so wenig �nderungen wie möglich vorzunehmen.
Unsere Benutzer und Entwickler vertrauen auf das genaue Verhalten eines
Releases nach dessen Freigabe, daher kann jede Ã?nderung, die wir
durchführen, möglicherweise das System von jemandem zerstören. Dies gilt
insbesondere für Bibliotheken: Es muss darauf geachtet werden, dass sich das
Anwendungs-Programm-Interface (API) oder Anwendungs-Binär-Interface (ABI)
niemals ändert, egal wie klein die �nderung ist.</p>
<p>Dies bedeutet, dass das Umsteigen auf eine neue Upstream-Version keine gute
Lösung ist und stattdessen die relevanten �nderungen zurückportiert werden
sollten. Ã?blicherweise sind die Upstream-Betreuer, wenn notwendig, bereit zu
helfen, falls das Debian Sicherheits-Team nicht helfen kann.</p>
<p>In einigen Fällen ist es nicht möglich, eine Sicherheitsreparatur
zurückzuportieren, zum Beispiel, wenn ein gro�er Teil des Quellcodes
modifiziert oder neu geschrieben werden muss. Wenn dies passiert, kann es
notwendig sein, auf eine neue Upstream-Version umzusteigen, aber dies muss
zuvor mit dem Sicherheits-Team koordiniert werden.</p>
<toc-add-entry name=policy>Was sind die Richtlinien für ein repariertes Paket,
um auf security.debian.org zu erscheinen?</toc-add-entry>
<p>A: Sicherheits-Lücken in der Stable-Distribution garantieren, dass ein Paket
zu security.debian.org hinzugefügt wird. Alles andere tut das nicht.
Die Grö�e der Lücke
ist hier nicht das wirkliche Problem. Ã?blicherweise bereitet das
Sicherheits-Team die Pakete gemeinsam mit dem Paketbetreuer vor. Sofern
jemand (ein Vertrauenswürdiger) das Problem analysiert, alle benötigten Pakete
übersetzt und diese an das Sicherheits-Team übermittelt, dann können auch
sehr kleine Sicherheitsreparaturen auf security.debian.org erscheinen.
Lesen Sie dazu bitte auch unterhalb weiter.</p>
<p>Sicherheitsaktualisierungen dienen einem Zweck: Eine Behebung für eine
Sicherheitsverwundbarkeit zu bieten. Sie sind keine Methode, um zusätzliche
Ã?nderungen in das Stable-Release einzubringen, ohne diese die normale
Point-Release-Prozedur durchmachen zu lassen.</p>
<toc-add-entry name=localremote>Was bedeutet <q>lokal (aus der Ferne)</q>?</toc-add-entry>
<p>A: Einige Ankündigungen decken Verwundbarkeiten ab, die nicht mit dem klassischen
Schema von lokalen und Verwundbarkeiten aus der Ferne identifiziert werden
können. Einige Verwundbarkeiten können nicht aus der Ferne ausgenutzt werden,
d.h. sie entsprechen nicht einem Daemon, der auf einer Netzschnittstelle
horcht. Falls sie durch spezielle Dateien ausgenutzt werden können, die
über das Netz bereit gestellt werden, während der verwundbare Dienst nicht
permanent mit dem Netz verbunden ist, schreiben wir in diesen Fällen <q>lokal
(aus der Ferne)</q>.
</p>
<p>Diese Verwundbarkeiten liegen irgendwo zwischen lokalen und solchen aus der
Ferne und decken oft Archive ab, die über das Netz bereitgestellt werden
könnten, z.B. E-Mail-Anhänge oder von einer Download-Seite.
</p>
<toc-add-entry name=version>Die Versionsnummer für ein Paket zeigt an, dass
ich immer noch eine verwundbare Version verwende!</toc-add-entry>
<p>A: Anstatt auf ein neues Release zu aktualisieren, portieren wir die
Sicherheits-Fixes auf die Version zurück, die mit dem Stable-Release
ausgeliefert wurde. Wir tun dies, um zu garantieren,
dass eine Veröffentlichung so wenig wie möglich ändert, damit sich als
Resultat des Sicherheits-Fixes nichts ändert oder unerwartet Probleme
verursacht werden. Sie können überprüfen, ob Sie eine sichere Version eines
Paketes verwenden, indem Sie die changelog-Datei des Paketes ansehen, oder
seine exakte Versionsnummer mit der angezeigten Version im
Debian-Sicherheitsankündigungen vergleichen.</p>
<toc-add-entry name=archismissing>Ich habe eine Ankündigung erhalten, aber
der Build des Pakets für eine Prozessorarchitektur scheint zu
fehlen.</toc-add-entry>
<p>A: Im Allgemeinen veröffentlicht das Sicherheits-Team
Sicherheitsankündigungen mit Builds der aktualisierten Pakete für alle
Architekturen, die Debian unterstützt. Allerdings sind einige
Architekturen schneller als andere und es könnte vorkommen, dass die
Builds für die meisten Architekturen fertig sind, während einige noch
fehlen. Diese seltener verwendeten Architekturen repräsentieren einen
kleinen Teil unserer Benutzerbasis. Abhängig von der Dringlichkeit des
Problems könnten wir uns dafür entscheiden, die Ankündigung ohne weitere
Verzögerung zu veröffentlichen. Die fehlenden Builds werden installiert,
sobald sie verfügbar sind, jedoch ohne einen weiteren Hinweis hierzu.
Natürlich werden wir niemals eine Ankündigung veröffentlichen, wenn
dazu die Builds für i386 oder amd64 noch nicht vorhanden sind.</p>
<toc-add-entry name=unstable>Wie wird die Sicherheit für <tt>Unstable</tt>
gehandhabt?</toc-add-entry>
<p>A: Die kurze Antwort ist: gar nicht. Unstable ist starken Ã?nderungen
unterworfen und das Sicherheits-Team hat nicht die Mittel, die benötigt
würden, um diese entsprechend zu unterstützen. Falls Sie einen sicheren (und
stabilen) Server benötigen, wird Ihnen nachdrücklich empfohlen, bei Stable
zu bleiben.</p>
<toc-add-entry name=testing>Wie wird die Sicherheit für <tt>Testing</tt>
gehandhabt?</toc-add-entry>
<p>A: Falls Sie einen sicheren (und stabilen) Server benötigen, wird Ihnen
nachdrücklich empfohlen, bei Stable zu bleiben. Allerdings gibt es
Sicherheitsunterstützung für Testing: Das Debian
Testing-Security-Team behandelt Probleme von Testing. Es stellt sicher,
dass die korrigierten
Pakete Testing auf dem normalen Weg durch Migration aus Unstable (mit
reduzierter Quarantäne-Zeit) erreichen oder, falls das zu lange
dauert, sie über die normale <a href="http://security.debian.org";>\
http://security.debian.org</a>-Infrastruktur erledigt werden. Um diese
zu benutzen, muss die folgende Zeile in <code>/etc/apt/sources.list</code>
enthalten sein:</p>
<p><code>deb http://security.debian.org <codename>/updates main</code></p>
<p>Führen Sie dann <code>apt-get update && apt-get upgrade</code> wie
gewohnt aus.</p>
<p>Beachten Sie, dass dies nicht garantiert, dass alle bekannten
Sicherheitsprobleme in Testing behoben sind! Einige aktualisierte Pakete
könnten auf den �bergang nach Testing warten.
Weitere Informationen über die Sicherheits-Infrastruktur für Testing kann
unter <a href="http://secure-testing-master.debian.net/";>\
http://secure-testing-master.debian.net/</a> gefunden werden.</p>
<toc-add-entry name=contrib>Wie wird die Sicherheit für <tt>contrib</tt> und
<tt>non-free</tt> gehandhabt?</toc-add-entry>
<p>A: Die kurze Antwort ist: gar nicht. Contrib und non-free sind nicht
offizieller Bestandteil der Debian-Distribution und werden nicht
freigegeben und daher nicht vom Sicherheits-Team unterstützt. Einige
non-free Pakete werden ohne Quellcode oder ohne eine Lizenz vertrieben,
die die Verteilung von geänderten Versionen erlaubt. In diesen Fällen ist
es überhaupt nicht möglich, Sicherheitsreparaturen durchzuführen.
Falls es möglich ist, das Problem zu beheben und der Paketbetreuer oder
jemand anderes korrekte, aktualisierte Pakete zur Verfügung stellt, wird
das Security-Team diese normalerweise bearbeiten und eine Ankündigung
veröffentlichen.</p>
<toc-add-entry name=sidversionisold>Die Ankündigung sagt, dass Unstable in
Version 1.2.3-1 korrigiert sei, aber 1.2.5-1 ist in Unstable. Was ist
hier los?</toc-add-entry>
<p>A: Wir versuchen, die erste Version in Unstable anzugeben, bei der das
Problem behoben wurde. Manchmal hat der Betreuer in der Zwischenzeit noch
neuere Versionen hochgeladen. Vergleichen Sie die Version in Unstable mit
der angegebenen Version. Falls Erstere identisch oder höher als Zweitere ist,
sollten Sie vor der Verwundbarkeit geschützt sein.</p>
<toc-add-entry name=mirror>Wieso gibt es keine offiziellen Spiegel-Server für
security.debian.org?</toc-add-entry>
<p>A: Tatsächlich gibt es diese. Es existieren mehrere offizielle Spiegel, die
über <acronym lang="en" title="Domain Name System">DNS</acronym>-Aliase
implementiert sind. Der Zweck von security.debian.org besteht darin,
Sicherheitsaktualisierungen so
schnell und einfach wie möglich zur Verfügung zu stellen.</p>
<p>Die Verwendung von inoffiziellen Spiegeln zu empfehlen, würde zusätzliche
Komplexität hinzufügen, die üblicherweise nicht benötigt wird und
frustrierend sein kann, falls diese Spiegel nicht aktuell gehalten werden.</p>
<toc-add-entry name=missing>Ich habe DSA 100 und DSA 102 gesehen, wo ist aber
DSA 101?</toc-add-entry>
<p>A: Einige Distributoren (hauptsächlich von GNU/Linux, aber auch von
BSD-Derivaten)
koordinieren Sicherheitsankündigungen für einige Vorfälle und stimmen einer
gemeinsamen Zeitlinie zu, damit alle Distributoren die Möglichkeit haben,
eine Ankündigung zur gleichen Zeit zu veröffentlichen. Dadurch soll verhindert
werden, dass ein Distributor diskriminiert wird, der mehr Zeit benötigt
(z.B. falls
der Hersteller längere Qualitätssicherungs-Tests für die Pakete durchführt,
oder mehrere Architekturen bzw. Binär-Distributionen unterstützt). Unser
eigenes Sicherheits-Team bereitet ebenfalls Ankündigungen im Vorhinein vor.
Es passiert immer wieder mal, dass andere Sicherheitsankündigungen früher
abgearbeitet werden müssen, als vorbereitete Ankündigungen veröffentlicht werden
können, und daher wird temporär eines oder mehrere Ankündigungen der Nummer
nach ausgelassen.</p>
<toc-add-entry name=contact>Wie erreiche ich das
Sicherheits-Team?</toc-add-entry>
<p>A: Sicherheitsinformationen können an security@debian.org oder
team@security.debian.org geschickt werden, unter beiden Adressen
erreichen Sie die Mitglieder des Sicherheits-Teams.</p>
<p>Wenn Sie Paketbetreuer sind und uns bezüglich eines Problems in einem
Ihrer Pakete kontaktieren möchten, erzeugen Sie bitte
<a href="http://wiki.debian.org/rt.debian.org#SecurityTeam";>ein Ticket
in unserem Request Tracker</a>. Falls Sie PGP-Verschlüsselung verwenden
möchten, ist es jedoch besser, eine reguläre E-Mail zu nutzen.</p>
<p>Falls gewünscht, können
die E-Mails mit dem Debian-Sicherheitskontakt-Schlüssel (Schlüssel-ID
<a href="http://pgpkeys.pca.dfn.de/pks/lookup?search=0x68B64E0D&op=vindex";>\
0x68B64E0D</a>) verschlüsselt werden. Für die PGP-/GPG-Schlüssel der
Mitglieder des Sicherheits-Teams schauen Sie bitte auf den Schlüsselserver
<a href="http://keyring.debian.org/";>keyring.debian.org</a>.</p>
<toc-add-entry name=discover>Ich glaube, ich habe ein Sicherheitsproblem
entdeckt, was soll ich tun?</toc-add-entry>
<p>A: Wenn Sie von einem Sicherheitsproblem erfahren, entweder in Ihren eigenen
Paketen oder in denen eines anderen Entwicklers, dann kontaktieren Sie bitte
immer das Sicherheits-Team. Wenn das Debian-Sicherheits-Team die
Verwundbarkeit bestätigt und andere Distributoren höchstwahrscheinlich
ebenfalls davon betroffen sind, kontaktiert es diese üblicherweise auch.
Wenn die Verwundbarkeit noch nicht öffentlich bekannt ist, wird es
versuchen, die
Sicherheitsankündigungen mit den anderen Distributoren zu koordinieren, damit
alle Haupt-Distributionen synchron sind.</p>
<p>Falls die Verwundbarkeit bereits öffentlich bekannt ist, schreiben Sie
bitte unbedingt einen Fehlerbericht für das
Debian-Fehlerverfolgungssystem und markieren Sie ihn mit dem Tag
<q>security</q>.</p>
<p>Falls Sie ein Debian-Entwickler sind, <a href="#care">lesen Sie unten
weiter</a>.</p>
<toc-add-entry name=care>Was soll ich bei einem Sicherheitsproblem in einem
meiner Pakete tun?</toc-add-entry>
<p>A: Wenn Sie von einem Sicherheitsproblem erfahren, sei es
in einem Ihrer Pakete oder in dem eines anderen,
kontaktieren Sie bitte immer das Sicherheits-Team, vorzugsweise
indem Sie ein Ticket im Request Tracker erzeugen. Sie können das Team
aber auch per E-Mail an team@security.debian.org erreichen. Die
Mitglieder des Teams
behalten die �bersicht über offene Sicherheitsprobleme, können den
Betreuern mit Sicherheitsproblemen helfen oder die Probleme selbst beheben
und sind verantwortlich für das Versenden der Sicherheitsankündigungen und die
Betreuung von security.debian.org.</p>
<p>Die <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
Entwicklerreferenz</a> enthält vollständige Informationen darüber, was zu
tun ist.</p>
<p>Es ist im Speziellen wichtig, dass Sie Pakete in keine andere Distribution
auÃ?er Unstable ohne vorherige Zustimmung vom Sicherheits-Team hochladen, da
das Umgehen davon Verwirrung stiftet und weiteren Aufwand verursacht.</p>
<toc-add-entry name=enofile>Ich habe versucht, ein Paket herunterzuladen, das
in einem der Sicherheitsankündigungen aufgeführt war, aber ich bekomme dabei
einen <q>file not found</q>-Fehler.</toc-add-entry>
<p>A: Immer, wenn eine neuere Fehlerbehebung ein älteres Paket auf
security.debian.org ersetzt, stehen die Chancen gut, dass das ältere
Paket gelöscht wird, wenn das neue installiert wird. Daher erhalten Sie
diesen <q>file not found</q>-Fehler. Wir wollen Pakete mit bekannten
Sicherheitslücken nicht länger als absolut notwendig verbreiten.</p>
<p>Bitte benutzen Sie die Pakete von den neuesten Sicherheitsankündigungen, die
über die <a href="http://lists.debian.org/debian-security-announce/";>\
debian-security-announce</a> Mailingliste verteilt werden. Am besten rufen
Sie einfach <code>apt-get update</code> auf, bevor Sie das Paket
aktualisieren.</p>
<toc-add-entry name=upload>Ich habe eine Fehlerbehebung, kann ich direkt auf
security.debian.org hochladen?</toc-add-entry>
<p>A: Nein, können Sie nicht. Das Archiv auf security.debian.org wird vom
Sicherheits-Team betreut, das alle Pakete genehmigen muss. Sie sollten
stattdessen Patches oder passende Quellcode-Pakete an das Sicherheits-Team
schicken, entweder über den Request Tracker oder via
team@security.debian.org. Diese werden dann vom
Sicherheits-Team überprüft und gegebenenfalls hochgeladen, entweder mit
oder ohne Ã?nderungen.</p>
<p>Wenn Sie nicht mit Sicherheits-Uploads vertraut sind und sich nicht 100%
sicher sind, dass Ihr Paket sauber ist, verwenden Sie bitte diesen Weg und
laden Sie Ihr Paket nicht in das incoming-Verzeichnis hoch. Das
Sicherheits-Team hat nur beschränkte Möglichkeiten, mit kaputten Paketen
umzugehen, speziell wenn diese keine saubere Versionsnummer haben. Pakete
können zurzeit nicht zurückgewiesen werden, und der
<acronym lang="en" title="Build Daemon">buildd</acronym> wäre irritiert,
wenn es möglich wäre. Daher sollten Sie bitte eine E-Mail schicken und helfen,
indem Sie dem Sicherheits-Team keine zusätzlichen Schmerzen
verursachen.</p>
<p>Die <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
Entwicklerreferenz</a> enthält vollständige Informationen darüber, was zu
tun ist.</p>
<toc-add-entry name=ppu>Ich habe eine Fehlerbehebung, kann ich diese
stattdessen nach proposed-updates hochladen?</toc-add-entry>
<p>A: Technisch gesehen können Sie es. Jedoch sollten Sie es nicht tun, da
dies böse mit der Arbeit des Sicherheits-Teams kollidieren kann. Pakete von
security.debian.org werden automatisch in das proposed-updates-Verzeichnis
kopiert. Falls ein Paket mit der gleichen oder einer höheren Versionsnummer
bereits in das Archiv eingespielt wurde, wird die Sicherheitsaktualisierung
vom Archiv-System zurückgewiesen. Auf diese Art wird die Stable-Distribution
die Sicherheitsaktualisierung für dieses Paket nicht
enthalten, auÃ?er, falls das <q>falsche</q> Paket im proposed-updates
Verzeichnis zurückgewiesen wurde. Bitte kontaktieren Sie stattdessen das
Sicherheits-Team: Fügen Sie alle
Details über die Verwundbarkeit bei und hängen die Quelldateien (d.h.
diff.gz- und dsc-Dateien) an die E-Mail an.</p>
<p>Die <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
Entwicklerreferenz</a> enthält vollständige Informationen darüber, was zu
tun ist.</p>
<toc-add-entry name=SecurityUploadQueue>Ich bin ziemlich sicher, dass meine
Pakete in Ordnung sind, wie kann ich sie hochladen?</toc-add-entry>
<p>A: Wenn Sie sich sehr sicher sind, dass ihre Pakete nichts zerstören, dass
die Version sauber ist (z.B. grö�er als die Version in Stable und kleiner
als die Version in Testing/Unstable), dass Sie kein Verhalten des Pakets
geändert haben, trotz des entsprechenden Sicherheitsproblems, dass Sie es
für die richtige Distribution übersetzt haben (das ist
<code>oldstable-security</code> oder <code>stable-security</code>), dass
das Paket den ursprünglichen Quellcode enthält, falls das Paket neu auf
security.debian.org ist, dass Sie bestätigen können, dass der Patch gegen
die aktuellste Version sauber ist und nur das entsprechende
Sicherheitsproblem betrifft (prüfen Sie mit <code>interdiff -z</code> und
beiden <code>.diff.gz</code>-Dateien), dass Sie den Patch zumindest
dreimal Korrektur gelesen haben, und dass <code>debdiff</code> keine
�nderungen anzeigt, dürfen Sie die Dateien in das incoming-Verzeichnis
<code>ftp://security-master.debian.org/pub/SecurityUploadQueue</code> auf security.debian.org
direkt hochladen. Bitte senden Sie auch eine Benachrichtigung mit allen
Details und Links an team@security.debian.org.</p>
<toc-add-entry name=help>Wie kann ich bei der Sicherheit helfen?</toc-add-entry>
<p>A: Bitte prüfen Sie jedes Problem nach, bevor Sie es an security@debian.org
berichten. Wenn es Ihnen möglich ist, Patches zur Verfügung zu stellen,
würde das den Prozess beschleunigen. Leiten Sie nicht einfach bugtraq-E-Mails
weiter, da wir diese bereits empfangen – teilen Sie uns
stattdessen zusätzliche Informationen zu Dingen mit, die auf bugtraq
gemeldet wurden.</p>
<p>Eine gute Art mit der Sicherheitsarbeit zu beginnen ist es, beim
Debian Security-Tracker zu helfen (<a
href="http://security-tracker.debian.org/tracker/data/report";>Anleitung</a>).</p>
<toc-add-entry name=proposed-updates>Was umfasst
proposed-updates?</toc-add-entry>
<p>A: Dieses Verzeichnis beinhaltet Pakete, die für die nächste Revision von
Debian Stable vorgeschlagen sind. Wann immer ein Paket von einem
Paketbetreuer für die Stable-Distribution hochgeladen wird, werden diese
im proposed-updates Verzeichnis abgelegt. Da Stable dafür gedacht ist,
stabil zu sein, werden keine automatischen Aktualisierungen durchgeführt. Das
Sicherheits-Team wird reparierte Pakete aus ihren Sicherheitsankündigungen für
Stable hochladen, jedoch werden diese zuerst in proposed-updates abgelegt.
Alle paar Monate prüft der Stable-Release-Manager die Liste der Pakete in
proposed-updates und diskutiert, ob ein Paket für Stable geeignet ist
oder nicht. Daraus wird ein neues Point-Release von Stable zusammengestellt
(z.B. 2.2r3 oder 2.2r4). Pakete, die nicht passen, werden wahrscheinlich
von proposed-updates ebenfalls zurückgewiesen.</p>
<p>Beachten Sie, dass vom Paketbetreuer (nicht vom Sicherheits-Team)
hochgeladene Pakete im Verzeichnis proposed-updates/ nicht vom
Sicherheits-Team unterstützt werden.</p>
<toc-add-entry name=composing>Wie setzt sich das Sicherheits-Team
zusammen?</toc-add-entry>
<p>A: Das Debian-Sicherheits-Team besteht aus <a href="../intro/organization">\
mehreren Beauftragten und Unterstützern</a>. Das Sicherheits-Team selbst
bestimmt die Leute, die dem Team beitreten.</p>
<toc-add-entry name=lifespan>Wie lange sind Sicherheitsaktualisierungen
vorgesehen?</toc-add-entry>
<p>A: Das Sicherheits-Team versucht eine stabile Distribution für in etwa ein
Jahr zu unterstützen, nachdem die nächste stabile Distribution freigegeben
wurde; auÃ?er, eine weitere stabile Distribution wird innerhalb dieser
Zeitspanne freigegeben. Es ist nicht möglich, drei Distributionen zu
unterstützen; die gleichzeitige Unterstützung für zwei ist bereits
schwierig genug.</p>
<toc-add-entry name=check>Wie kann ich die Integrität der Pakete prüfen?</toc-add-entry>
<p>A: Dieser Prozess umfasst das Prüfen der Release-Datei-Signatur gegen den
<a href="http://ftp-master.debian.org/archive-key-4.0.asc";>öffentlichen
Schlüssel</a>, der für die Archive verwendet wird. Die Release-Datei
enthält die MD5-Prüfsummen der Packages- und Sources-Dateien, die
MD5-Prüfsummen der Binär- und Quellcodepakete enthalten. Ausführlichere
Anweisungen, wie man die Paket-Integrität prüfen kann, können im
<a href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\
Securing-Debian-Handbuch</a> nachgelesen werden.</p>
<toc-add-entry name=break>Was soll ich tun, wenn ein zufälliges Paket nach
einer Sicherheitsaktualisierung nicht mehr funktioniert?</toc-add-entry>
<p>A: Zuerst sollten Sie herausfinden, warum dieses Paket nicht mehr
funktioniert und wie es mit der Sicherheitsaktualisierung
zusammenhängt. Danach sollten Sie sich an das
Sicherheits-Team wenden, wenn es ein schwerwiegendes
Problem ist, oder an den Stable-Release-Betreuer, wenn es
weniger schwerwiegend ist. Es geht hier um zufällige
Pakete, die nach der Aktualisierung eines anderen Paketes
nicht mehr funktionieren. Wenn Sie nicht herausfinden
können, was schief geht, aber eine Lösung gefunden haben,
wenden Sie sich auch an das Sicherheits-Team. Es könnte jedoch sein,
dass man Sie an den Stable-Release-Betreuer weiterleitet.</p>
Reply to: