Re: [wml] mais dois para commit
Commitado.
Em Seg, 2004-02-02 às 10:06, rodrigo torres escreveu:
> êta nóis... Agora eu acho que vai.
> Ficou faltando portuguese/security/faq.wml
>
> :~.
> ______________________________________________________________________________
> Nachrichten, Musik und Spiele schnell und einfach per Quickstart im
> WEB.DE Screensaver - Gratis downloaden: http://screensaver.web.de/?mc=021110
>
> ______________________________________________________________________
> #use wml::debian::template title="FAQ de Segurança Debian"
> #use wml::debian::translation-check translation="1.34" translation_maintainer="Philipe Gaspar"
> #include "$(ENGLISHDIR)/security/faq.inc"
>
> <p>As perguntas a seguir são feitas muitas vezes, então suas respostas estão resumidas aqui
> .</p>
>
> <maketoc>
>
> <toc-add-entry name=signature>Não consegui verificar corretamente a assinatura em seus
> alertas!</toc-add-entry>
>
> <p>R: Provavelmente você está fazendo algo errado. A lista
> <a href="http://lists.debian.org/debian-security-announce/";>\
> debian-security-announce</a> possui um filtro que só permite que mensagens
> com a assinatura correta de um dos membros da equipe de segurança sejam
> postadas.</p>
>
> <p>É possível que seu software de e-mail esteja alterando sutilmente
> a mensagem, o que invalida sua assinatura.
> Certifique-se de que seu programa não faça codificação ou decodificação
> MIME, assim como conversões de tabulação/espaços.</p>
>
> <p>Alguns softwares que fazem isso são o fetchmail (com a opção mimedecode
> habilitada), o formail (do procmail versão 3.14) e o evolution.</p>
>
> <toc-add-entry name=handling>Como é a feita a segurança no Debian?</toc-add-entry>
>
> <p>R: Assim que o Time de Segurança recebe uma notificação sobre um
> incidente, um ou mais membros revisam e consideram seu impacto sobre
> a versão estável do Debian (ex. se esta é vulnerável ou não). Se nosso
> sistema é vulnerável, nós trabalhamos em uma correção para o problema.
> O mantenedor do pacote é contatado também, se ele já não contatou
> o Time de Segurança. Finalmente, a correção é testada e novos pacotes
> são preparados, compilados em todas as arquiteturas da versão estável e
> é feito o envio dos mesmos. Depois de tudo isso, um alerta é publicado.
> </p>
>
> <toc-add-entry name=oldversion>Por que vocês insistem em versões antigas
> daquele pacote?</toc-add-entry>
>
> <p>R: A regra mais importante de quando está se fazendo um novo pacote que corrige
> problemas de segurança é fazer menos alterações o possível. Nossos usuários e
> desenvolvedores estão confiando no comportamento correto de um release uma
> vez que é feito, então qualquer mudança que fazemos pode possivelmente
> quebrar o sistema de alguém. Isso é verdade especialmente no caso de
> bibliotecas: tenha certeza que você nunca modifique as
> Application Program Interface (API) ou Application Binary Interface (ABI),
> não importa o quão pequeno seja essa alteração.</p>
>
> <p>Isso significa que mudando para a nova versão do autor não é uma boa
> solução, em vez disso as alteração relevantes devem ser adaptadas à versão
> antiga. Geralmente os autores dessas novas versões têm vontade de ajudar
> se preciso, se não o Time de Segurança do Debian pode estar disponível para
> ajudar.</p>
>
> <p>Em alguns casos não é possível adaptar a versão antiga a uma correção de
> segurança, por exemplo quando muita quantidade de código fonte precisa ser
> modificada ou reescrita. Se isto acontecer pode ser necessário mudar para a
> nova versão do autor, mas isso deve ser coordenado antecipadamente com o
> Time de Segurança.</p>
>
> <toc-add-entry name=policy>Qual é a política usada para que pacotes corrigidos apareçam
> no security.debian.org?</toc-add-entry>
>
> <p>R: Erros de segurança na distribuição estável garantem a aparição
> de um pacote no security.debian.org. Nada mais. O tamanho
> do erro não é o problema real aqui. Normalmente, o Time de Segurança
> irá preparar pacotes juntamente com o mantenedor do pacote. Desde que
> alguém (confiável) investigue o problema e construa os pacotes necessários
> e os envie ao Time de Segurança, mesmo problemas de segurança triviais
> irão entrar no security.debian.org. Por favor veja abaixo</p>
>
> <toc-add-entry name=version>O número de versão de um pacote indica que eu ainda estou
> rodando uma versão vulnerável!</toc-add-entry>
>
> <p>Atualizações de segurança têm um único propósito: fornecer uma correção
> uma vulnerabilidade relacionada a segurança. Elas não são um método para enviar
> mudanças adicionais na versão estável sem realizar um procedimento de lançamento normal.
> </p>
>
> <p>R: Ao invés de atualizar para uma nova versão nós portamos correções
> de segurança das versões mais novas para a versão lançada com a release
> estável. A razão para que façamos isto é certificar-nos de que uma release mude o
> mínimo possível e que as coisas não mudarão ou quebrarão inesperadamente
> como consequência de uma correção de segurança. Você pode checar se
> está executando uma versão segura de um pacote verificando o seu changelog
> ou comparando o exato número de versão com a versão indicada
> no Alerta de Segurança Debian.</p>
>
> <toc-add-entry name=testing>Como a segurança é feita na <tt>testing</tt> e na
> <tt>unstable</tt>?</toc-add-entry>
>
> <p>R: A resposta curta é: não é feita. Testing e unstable estão constante alteração
> e a equipe de segurança não possui os recursos necessários
> para checá-las Se quer ter um servidor seguro e
> estável, nós recomendamos fortemente que continue com a versão
> estável. Entretanto, os secretários de segurança tentarão consertar
> os problemas na testing e unstable depois que eles forem consertados no
> lançamento estável.</p>
>
> <toc-add-entry name=contrib>Como a segurança é feita para o <tt>contrib</tt> e <tt>non-free</tt>?</toc-add-entry>
> <p>A: A resposta curta é: não é feita. Contrib e non-free não
> fazem parte oficialmente da Distribuição Debian e não são lançadas, e por isso
> não são suportadas pelo time de segurança. Alguns pacotes non-free são distribuídos
> sem o código fonte ou uma licença que não permite a distribuição das versões
> modificadas. Nesses casos nenhum conserto de segurança pode ser feito.</p>
>
> <toc-add-entry name=mirror>Por que não há mirrors oficiais de security.debian.org?</toc-add-entry>
>
> <p>R: O propósito de security.debian.org é tornar atualizações de
> segurança disponíveis da maneira mais rápida e fácil possível.</p>
>
> <p>Encorajar o use de mirrors não oficiais poderá causar uma complexidade extra
> desnecessária e a frustração de encontrar um desses mirrors desatualizados. Mirrors oficiais de
> security.debian.org estão sendo planejados para o futuro.</p>
>
> <toc-add-entry name=missing>Vi o DSA 100 e o DSA 102, agora, onde está o DSA 101?</toc-add-entry>
> <p>R: Vários distribuidores (a maioria deles de GNU/Linux, mas também
> de variações do BSD) coordenam alertas de segurança para alguns
> incidentes e concordam com uma determinada linha de tempo para
> que todos os distribuidores possam lançar um aviso ao mesmo tempo.
> Isso foi decidido para que não haja discriminação com alguns distribuidores que
> precisam de mais tempo (por exemplo, quando o distribuidor tem de
> passar os pacotes por longos testes de controle de qualidade
> ou suporta diversas arquiteturas ou distribuições binárias).
> Nosso Time de Segurança também prepara avisos com antecedência.
> Dependendo da situação, outros problemas de segurança tem de ser
> trabalhados antes de o aviso "estacionado" ser lançado, e isso
> causa a lacuna na numeração dos avisos.
>
> <toc-add-entry name=contact>Como posso entrar em contato com a equipe de segurança?</toc-add-entry>
>
> <p>R: Informações relacionadas a segurança podem ser enviadas para
> security@debian.org, que são lidas pelo time de segurança e alguns
> outros desenvolvedores do Debian.</p>
>
> <p>Se você tiver informações importantes entre em contato somente com
> time de segurança em team@security.debian.org.</p>
>
> <p>Caso deseje, a mensagem pode ser criptografada com a chave do
> Contato de Segurança Debian (o ID da chave é <a
> href="http://blackhole.pca.dfn.de:11371/pks/lookup?op=get&exact=on&search=0x363CCD95";>\
> 0x363CCD95</a>).
> Também procure pelas <a href="keys.txt">chaves PGP/GPG do time de segurança</a>.</p>
>
> <toc-add-entry name=discover>Eu acho que encontrei um problema de segurança, o que devo fazer?</toc-add-entry>
>
> <p>R: Se você descobriu um problema de segurança, tanto em um dos seus pacotes
> ou de outro desenvolvedor, por favor, contate o Time de Segurança. Se o Time
> de segurança do Debian confirmar a vulnerabilidade e outros distribuidores
> também estiverem vulneráveis, eles geralmente contatam estes outros distribuidores
> . Se a vulnerabilidade ainda não é pública eles tentam coordenar os
> alertas de segurança com os dos outros distribuidores para que todas as
> principais distribuições fiquem sincronizadas.</p>
>
> <p>Se você for um mantenedor Debian, <a href="#care">veja abaixo</a>.</p>
>
> <toc-add-entry name=care>O que eu devo fazer com um problema de segurança em um dos meus
> pacotes?</toc-add-entry>
>
> <p>R: Se você souber de algum problema de segurança, seja no seu pacote ou
> no de outra pessoa, por favor, não deixe de entrar em contato com o Time de
> Segurança. Você pode se comunicar com eles através do e-mail
> team@security.debian.org. Eles mantém um relatório do andamento dos
> problemas de segurança, podem ajudar mantenedores a consertar ou até mesmo
> eles consertarem estes problemas de segurança, também são responsáveis por
> mandar os alertas de segurança e mantém o security.debian.org.</p>
>
> <p>O documento <a href="$(DOC)/developers-reference/ch-pkgs#s-bug-security">\
> Developer's Reference (Referências para Desenvolvedores)</a> tem instruções
> completas do que fazer.</p>
>
> <p>É particularmente importante que você não faça o upload para nenhuma outra
> distribuição que não seja a instável sem antes conversar com o time de
> segurança, pois isso pode causar confusão e mais trabalho.</p>
>
> <toc-add-entry name=enofile>Eu tentei baixar um pacote listado em um dos alertas de segurança,
> mas eu recebo um erro do tipo `arquivo não encontrado'.</toc-add-entry>
>
> <p>R: Quando algum pacote que leva uma correção de bug substitui um pacote
> antigo na security.debian.org, as chances de que o antigo seja removido
> assim que o outro entrar são altas. Portanto, você irá
> receber o erro `arquivo não encontrado'. Nós não queremos distribuir
> pacotes com erros de segurança conhecidos a não ser que seja absolutamente necessário.</p>
>
> <p>Por favor use os pacotes dos últimos avisos de segurança, que
> são distribuídos através da lista de discussão <a
> href="http://lists.debian.org/debian-security-announce/";>\
> debian-security-announce</a>. É melhor simplesmente rodar
> <code>apt-get update</code> antes de atualizar o pacotes.</p>
>
> <toc-add-entry name=upload>Eu tenho uma correção de bug. Posso enviar para o
> security.debian.org diretamente?</toc-add-entry>
>
> <p>R: Não, você não pode. O repositório na security.debian.org é mantido
> pelo Time de Segurança, que deve aprovar todos os pacotes. Em vez disso
> você pode enviar patches ou pacotes fonte apropriados para o Time de Segurança
> pelo email team@security.debian.org. Eles serão revisados pelo Time de Segurança
> e eventualmente enviados, tanto com ou sem modificações.</p>
>
> <p>Se você não está acostumado com uploads de segurança e não tem
> 100% de certeza que seu pacote está correto, por favor use esta
> maneira e não envie para o diretório incoming. O Time de Segurança
> não tem muitas opções para tratar com pacotes quebrados, especialmente
> se eles não usam uma versão correta. Os pacotes atualmente não podem
> ser rejeitados e o buildd poderia ficar confuso se isto fosse
> possível. Então, por favor use mail e ajude evitando colocar mais
> peso para o Time de Segurança.</p>
>
> <p>O manual <a href="$(DOC)/developers-reference/ch-pkgs#s-bug-security">\
> Developer's Reference (Referências para Desenvolvedores)</a> tem instruções
> completas do que fazer.</p>
>
> <toc-add-entry name=ppu>Eu tenho uma correção de bug. Posso enviar para o
> "proposed-updates" diretamente?</toc-add-entry>
>
> <p>A: Tecnicamente falando, você pode. No entanto, você não deve fazê-lo,
> uma vez que isso interfere no trabalho do Time de Segurança.
> Pacotes do security.debian.org serão copiados para o diretório
> proposed-updates automaticamente. Se um pacote com o mesmo ou um número
> de versão mais alto já se encontra no arquivo, a atualização de segurança
> será rejeitada pelo sistema de arquivamento. Dessa forma, a distribuição
> estável ficará sem uma atualização de segurança para este pacote, ao menos
> que o pacote "errado" do diretório proposed-updates seja rejeitado.
> Por favor, contate o Time de Segurança, inclua todos os detalhes da
> vulnerabilidade e anexe seu arquivos fontes (por exemplo, diff.gz e arquivos
> dsc) em seu e-mail.</p>
>
> <p>O manual <a href="$(DOC)/developers-reference/ch-pkgs#s-bug-security">\
> Developer's Reference (Referências para Desenvolvedores)</a> tem instruções completas do que fazer.</p>
>
> <toc-add-entry name=SecurityUploadQueue>Eu tenho certeza que meus pacotes estão corretos,
> como posso enviá-los?</toc-add-entry>
>
> <p>R: Se você tem tanta certeza que seus pacotes não irão quebrar alguma coisa, que
> a versão está correta (exemplo maior do que a versão no estável e menor do que
> a versão no testing/instável), que você não alterou o comportamento do pacote,
> apesar do problema de segurança correspondente, que você compilou ele para a
> distribuição correta (que é a <code>oldstable-security</code> ou
> <code>stable-security</code>), que contém o código fonte original se o pacote
> for novo na security.debian.org, que você pode confirmar que o patch da versão
> mais recente é claro e somente modificado a parte relacionada com o problema de
> segurança correspondente (verifique com <code>interdiff -z</code> e ambos
> arquivos <code>.diff.gz</code>), que você tenha revisado o patch pelo menos
> três vezes, e que o <code>debdiff</code> não tenha mostrado nenhuma mudança, você
> pode enviar diretamente os arquivo para o diretório incoming
> <code>/org/ftp.root/pub/SecurityUploadQueue</code> no security.debian.org. Por favor
> envie também uma notificação com todos os detalhes e links para o email
> team@security.debian.org.</p>
>
> <toc-add-entry name=help>Como posso ajudar com a segurança?</toc-add-entry>
> <p>R: Por favor, reveja cada problema antes de informá-lo ao
> security@debian.org. Se você for capaz de fornecer patches,
> isto aumentaria a velocidade do processo. Não encaminhe
> simplesmente mails do bugtraq, porque nós já os recebemos
> — mas nós relate informações adicionais sobre
> coisas informadas na bugtraq.</p>
>
> <toc-add-entry name=proposed-updates>Qual é o escopo do proposed-updates?</toc-add-entry>
>
> <p>R: Este diretório contém pacotes que são sugeridos para entrar
> na próxima versão estável do Debian. Sempre que pacotes são enviados
> por um mantenedor para a distribuição estável, eles acabam no
> diretório proposed-updates. Já que a estável é feita para ser estável,
> atualizações automáticas não são realizadas. O Time de Segurança irá
> enviar pacotes corrigidos mencionados em alertas para a estável,
> no entanto, eles serão colocados no proposed-updates antes. A cada dois meses,
> o Gerente da Versão Estável confere a lista de pacotes
> do proposed-updates e discute se um pacote serve ou não para a estável.
> Então, os escolhidos são compilados em uma nova versão da estável
> (e.x. 2.2r3 ou 2.2r4). Pacotes que não se encaixam na versão estável
> provavelmente serão rejeitados e também descartados do proposed-updates.
>
> <p>Note que pacotes com uploads feitos pelos mantenedores (não pelo time de segurança)
> no diretório proposed-updates/ não são suportados pelo time de segurança.</p>
>
> <toc-add-entry name=composing>Como o Time de Segurança é composto?</toc-add-entry>
>
> <p>R: O Time de Segurança do Debian consiste de
> <a href="../intro/organization">alguns oficiais e secretários</a>.
> O próprio Time de Segurança designa pessoas para se juntar ao Time.</p>
>
> <toc-add-entry name=lifespan>Por quanto tempo as atualizações de segurança são fornecidas?</toc-add-entry>
> <p>R: O time de segurança tentar dar suporte à distribuição estável por mais ou
> menos um ano depois que uma próxima distribuição estável é lançada, exceto
> quando uma outra distribuição estável é lançada neste período. É impossível
> dar suporte a três distribuições; dar suporte a duas simultaneamente já é
> difícil o bastante.
>
> <toc-add-entry name=check>Como verifico a integridade de um pacote?</toc-add-entry>
> <p>R: É preciso verificar a assinatura do arquivo Release com a
> <a href="http://ftp-master.debian.org/ziyi_key_2003v2.asc";>\
> chave pública</a> usada para armazenamento. o arquivo Release
> contém os checksums MD5 dos arquivos Packages e Sources, que contêm os
> checksums dos pacotes binários e fontes. Mais informações de como
> verificar integridade dos pacotes pode ser encontrada no <a
> href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\
> Manual de Segurança do Debian</a>.</p>
--
Philipe Gaspar
Reply to: