[RFR] wml://www.debian.org/security/faq.wml
Boa Noite,
correção em anexo.
Obrigado.
--------------
Wagner Marcuci
On Sat, 2020-05-16 at 16:40 -0300, Wagner Marcuci wrote:
> Boa Tarde,
>
> estarei atualizando a página acima em Outdated translations.
>
> https://www.debian.org/devel/website/stats/pt#outdated
>
> Obrigado.
>
> --------------
> Wagner Marcuci
>
>
diff --git a/portuguese/security/faq.wml b/portuguese/security/faq.wml
index 8d7e69846eb..e2a80e361d2 100644
--- a/portuguese/security/faq.wml
+++ b/portuguese/security/faq.wml
@@ -1,5 +1,5 @@
#use wml::debian::template title="FAQ de Segurança Debian"
-#use wml::debian::translation-check translation="eb8bddb240089bdcf690ddd74297f6358992eb1e" translation_maintainer="Felipe Augusto van de Wiel (faw)"
+#use wml::debian::translation-check translation="6e1fa2e1aabb151dc8ce2445ee60cc40675fb927" translation_maintainer="Felipe Augusto van de Wiel (faw)"
#include "$(ENGLISHDIR)/security/faq.inc"
<p>Nós recebemos as seguintes perguntas frequentemente, então suas respostas
@@ -7,363 +7,381 @@ estão resumidas aqui.</p>
<maketoc>
-<toc-add-entry name=signature>Não consegui verificar corretamente a assinatura em seus alertas!</toc-add-entry>
-<p>R: Provavelmente você está fazendo algo errado. A lista
- <a href="https://lists.debian.org/debian-security-announce/">\
- debian-security-announce</a> possui um filtro que só permite que mensagens
- com a assinatura correta de um dos membros do time de segurança sejam
- postadas.</p>
-
-<p>Provavelmente, seu software de e-mail está alterando sutilmente
- a mensagem, o que invalida a assinatura. Certifique-se de que seu
- programa não faça codificação ou decodificação MIME, assim como
- conversões de tabulação/espaços.</p>
-
-<p>Alguns softwares que fazem isso são o fetchmail (com a opção mimedecode
- habilitada), o formail (do procmail versão 3.14) e o evolution.</p>
-
-<toc-add-entry name=handling>Como o Debian lida com a segurança?</toc-add-entry>
-<p>R: Assim que o Time de Segurança recebe uma notificação sobre um
- incidente, um ou mais membros revisam e avaliam seu impacto sobre
- a versão estável do Debian (ou seja, se ela é vulnerável ou não). Se nosso
- sistema é vulnerável, nós trabalhamos em uma correção para o problema.
- O mantenedor do pacote é contatado também, se ele já não contatou
- o Time de Segurança. Finalmente, a correção é testada e novos pacotes
- são preparados, compilados em todas as arquiteturas da versão estável e
- é feito o envio dos mesmos. Depois de tudo isso, um alerta é publicado.
-</p>
+<toc-add-entry name=buthow>Eu recebi a SPF via debian-security-announce, como eu atualiza vulnerabilidades no pacote?</toc-add-entry>
+
+<p>R: Como SPF diz, você deveria atualizar o pacote em questão através
+ da vulnerabilidade anunciada. Você pode fazer isto atualizando (depois de
+ atualiza a lista de pacotes vulneráveis com <tt>apt-get update</tt>)
+ cada pacote no sistema com <tt>apt-get upgrade</tt> ou pela atualização
+ somente daquele pacote, com <tt>apt-get install
+ <i>package</i></tt>.</p>
+
+<p>Vários emails informam que o próprio pacote mencionada qual vulnerabilidade está
+ presente. Portando, você deverá atualizar todos os binários deste pacote.
+ Para verificar quais binários do pacote devem ser atualizados, visite
+ <tt>https://packages.debian.org/src:<i>source-package-name</i></tt> e
+ clique emn <i>[show ... binary packages]</i> para distribuição que você
+ está atualizando.</p>
+
+<p>Talvez seja necessário reiniciar o sistema ou serviço afetado. O
+ comando <a href="https://manpages.debian.org/checkrestart"><tt>checkrestart</tt></a>
+ incluído no pacote
+ <a href="https://packages.debian.org/debian-goodies">debian-goodies</a>
+ pode ajudar a encontrá-los.</p>
-<toc-add-entry name=oldversion>Por que vocês insistem em uma versão antiga
-de determinado pacote?</toc-add-entry>
-
-<p>R: A regra mais importante quando está se fazendo um novo pacote que corrige
- problemas de segurança é fazer o menor número possível de alterações. Nossos
- usuários e desenvolvedores estão confiando no comportamento correto de uma
- versão, uma vez que ela é lançada, então qualquer mudança que fazemos tem o
- potencial de quebrar o sistema de alguém. Isso é verdade especialmente no
- caso de bibliotecas: certifique-se de nunca modificar a Application Program
- Interface (API) ou Application Binary Interface (ABI), não importa quão
- pequena seja essa alteração.</p>
-
-<p>Isso significa que mudar para a nova versão do autor não é uma boa
- solução, em vez disso, as alterações relevantes devem ser adaptadas à versão
- antiga. Geralmente os autores dessas novas versões se dispõem a ajudar se for
- preciso, se não, o Time de Segurança do Debian pode estar disponível para
- ajudar.</p>
-
-<p>Em alguns casos não é possível adaptar a versão antiga a uma correção de
- segurança, por exemplo quando uma grande quantidade de código fonte precisa
- ser modificada ou rescrita. Se isto acontecer pode ser necessário mudar
- para a nova versão do autor, mas isso deve ser coordenado antecipadamente
- com o Time de Segurança.</p>
-
-<toc-add-entry name=policy>Qual é a política usada para que pacotes corrigidos
- apareçam no security.debian.org?</toc-add-entry>
-
-<p>R: Erros de segurança na distribuição estável garantem a aparição
- de um pacote no security.debian.org. Nada mais. O tamanho
- do erro não é o problema real aqui. Normalmente, o Time de Segurança
- irá preparar pacotes juntamente com o mantenedor do pacote. Desde que
- alguém (confiável) investigue o problema e construa os pacotes necessários
- e os envie ao Time de Segurança, mesmo problemas de segurança triviais
- irão entrar no security.debian.org. Por favor, veja abaixo.</p>
-
-<p>Atualizações de segurança têm um único propósito: fornecer uma correção para
- uma vulnerabilidade relacionada à segurança. Elas não são um método para
- enviar mudanças adicionais à versão estável sem realizar o procedimento de
- lançamento normal.</p>
-
-<toc-add-entry name=localremote>O que significa <q>local (remote)</q>?</toc-add-entry>
-<p>R: Alguns alertas tratam de vulnerabilidades que não podem ser identificadas
- usando o esquema clássico de explorações locais ou remotas. Algumas
- vulnerabilidades não podem ser exploradas remotamente, ou seja, não
- correspondem a um <em>daemon</em> associado a uma porta de rede.
- Nos casos em que é possível explorá-las através de arquivos especiais
- que possam estar disponíveis via rede enquanto o serviço
- vulnerável não se encontra conectado permanentemente com a rede,
- nós utilizamos <q>local (remote)</q>.
-
-<p>Essas vulnerabilidades estão entre as vulnerabilidades locais e
- as remotas, e muitas vezes dizem respeito a arquivos que poderiam ser
- disponibilizados através da rede, como um anexo de correio eletrônico
- ou por uma página de download.</p>
-
-<toc-add-entry name=version>O número de versão de um pacote indica que eu ainda
- estou executando uma versão vulnerável!</toc-add-entry>
-<p>R: Ao invés de atualizar para uma versão nova nós adaptamos correções
- de segurança das versões mais novas para a versão lançada com a distribuição
- estável. A razão para que façamos isto é certificar-nos de que uma
- distribuição mude o mínimo possível, de forma que nada quebre ou mude
- inesperadamente, como consequência de uma correção de segurança. Você pode
- checar se está executando uma versão segura de um pacote verificando o seu
- registro de mudanças, ou comparando o número exato da versão com a versão
- indicada no Alerta de Segurança Debian.</p>
-
-<toc-add-entry name=unstable>Como a segurança é feita na <tt>unstable</tt>?</toc-add-entry>
-<p>R: A resposta curta é: não é feita. A <q>unstable</q> é uma alvo móvel
- rápido e o time de segurança não tem os recursos necessários para suportá-la
- apropriadamente. Se você quer ter um servidor seguro (e estável) você
- é fortemente encorajado a fica com a <q>stable</q>.</p>
-
-<toc-add-entry name=testing>Como a segurança é feita na <tt>testing</tt>?</toc-add-entry>
-<p>R: Se você quer ter um servidor seguro (e estável) você é fortemente
- encorajado a ficar com a <q>stable</q>. No entanto, há suporte
- de segurança para a <q>testing</q>: O time de segurança da
- <q>testing</q> do Debian lida com problemas para a
- <q>testing</q>. Eles vão assegurar que os pacotes corrigidos entrem
- na <q>testing</q> na forma usual através da migração a partir da
- <q>unstable</q> (com tempo de quarentena reduzido), ou, se isto levar
- muito tempo, torná-los disponível através da infra-estrutura normal em <a
- href="http://security.debian.org">http://security.debian.org</a>.
- Para usá-la, tenha certeza de ter a seguinte linha em seu
- <code>/etc/apt/sources.list</code>:</p>
- <p><code>deb http://security.debian.org testing/updates main</code></p>
- <p>e execute <code>apt-get update && apt-get upgrade</code>
- como de costume.</p>
- <p>Note que isso não garante que todos os bugs de segurança conhecidos são
- corrigidos na <q>testing</q>! Alguns pacotes atualizados podem estar
- aguardando a transição para a <q>testing</q>. Mais informação sobre a
- infraestrutura de segurança para a <q>testing</q> pode ser encontrada em <a
- href="http://secure-testing-master.debian.net/">\
- http://secure-testing-master.debian.net/</a>.</p>
-
-<toc-add-entry name=contrib>Como a segurança é feita para o <tt><q>contrib</q></tt> e <tt><q>non-free</q></tt>?</toc-add-entry>
-
-<p>A: A resposta curta é: não é feita. A <q>contrib</q> e <q>non-free</q> não
- fazem parte oficialmente da Distribuição Debian e não são lançadas, por
- isso não são suportadas pelo Time de Segurança. Alguns pacotes <q>non-free</q>
- são distribuídos sem o código fonte ou com uma licença que não permite a
- distribuição de versões modificadas. Nesses casos, nenhuma correção de
- segurança pode ser feita. Se for possível corrigir o problema, e o
- mantenedor do pacote ou alguma outra pessoa fornecer pacotes corrigidos,
- o Time de Segurança geralmente irá processá-los e publicar um alerta.</p>
-
-<toc-add-entry name=sidversionisold>O alerta diz que a instável (<q>unstable</q>) foi corrigida na versão 1.2.3-1, mas a instável (<q>unstable</q>) contém a
-1.2.5-1, o que aconteceu?</toc-add-entry>
-
-<p>A: Nós tentamos listas a primeira versão na instável (<q>unstable</q>) que
- corrigiu o problemas. Algumas vezes o mantenedor enviou versões mais novas
- neste meio tempo. Compare a versão na instável (<q>unstable</q>) com a
- versão que nós indicamos. Se for a mesma ou maior, você deverá estar seguro
- com relação a esta vulnerabilidade.</p>
-
-
-<toc-add-entry name=mirror>Por que não há espelhos oficiais de security.debian.org?</toc-add-entry>
-
-
-<p>R: Na verdade, há. Há vários espelhos oficiais, implementados através de
-apelidos DNS (<q>DNS aliases</q>). O propósito de security.debian.org é tornar
-atualizações de segurança disponíveis da maneira mais rápida e fácil possível.
-</p>
- <p>Encorajar o uso de espelhos não-oficiais poderá causar uma complexidade
- extra desnecessária e a frustração de encontrar um desses espelhos
- desatualizados.</p>
-
-<toc-add-entry name=missing>Vi o DSA 100 e o DSA 102, agora, onde está o DSA 101?</toc-add-entry>
-<p>R: Vários distribuidores (a maioria deles de GNU/Linux, mas também
- de variações do BSD) coordenam alertas de segurança para alguns
- incidentes e concordam com uma determinada linha de tempo para
- que todos os distribuidores possam lançar um aviso ao mesmo tempo.
- Isso foi decidido para que não haja discriminação com alguns distribuidores
- que precisam de mais tempo (por exemplo, quando o distribuidor tem de
- passar os pacotes por longos testes de controle de qualidade
- ou suporta diversas arquiteturas ou distribuições binárias).
- Nosso Time de Segurança também prepara avisos com antecedência.
- Dependendo da situação, outros problemas de segurança têm de ser
- trabalhados antes do aviso "estacionado" ser lançado, e isso
- causa a lacuna na numeração dos avisos.
+<toc-add-entry name=signature>A assinatura nos seus avisos não é verificada corretamente!</toc-add-entry>
+<p>R: É mais provável que seja um problema do seu lado. A lista
+ <a href="https://lists.debian.org/debian-security-announce/">\
+ debian-security-announce</a>
+ tem um filtro que somente permite assinaturas corretas
+ vindas do time de segurança que as envia.</p>
+
+<p>É mais provável que o seu email esteja com problemas como quebrando
+ a linha da assinatura. Tenha certeza que seu software não faça codificação
+ ou decodifição das mensagens MIME, ou conversões da tecla tab ou espaço.</p>
+
+<p>Problemas relatados no fetchmail (opção mimedecode ativada),
+ formail (somente versão procmail 3.14 ) e posteriores.</p>
+
+<toc-add-entry name="handling">Como um problema de segurança no Debian é tratado?</toc-add-entry>
+<p>R: Uma vez que o time de segurança recebe a notificação do incidente,
+ um ou mais membros verificam qual o impacto na versão estável
+ do Debian ( i.e. se é uma vulnerabilidade ou não ).
+ Se for uma vulnerabilidade, trabalharão para consertar o
+ problema. O mantenedor do pacote será contatado, se já não
+ tiver sido, pelo time de segurança. Finalmente, a correção é testada e
+ novos pacote serão preparados, na qual será compilada em toda arquitetura
+ da versão estável e posteriormente atualizada. Depois de tudo isso,
+ um aviso será publicado.</p>
+
+<toc-add-entry name=oldversion>Porque você utiliza a versão antiga dos pacotes?</toc-add-entry>
+
+<p>A orientação mais importante quando fazemos novos pacotes com correções de
+ um problema de segurança é fazer o mínimo de alterações possíveis. Nossos usuários e
+ desenvolvedores contam com o comportamento exato de uma versão uma vez que
+ é feita, para que nenhuma alteração possa quebrar o sistema de alguém.
+ Isto é especialmente verdade no caso de bibliotecas: tenha certeza que a alteração
+ nunca altere Application Program Interface (API) ou Application Binary Interface (ABI),
+ não importa quão pequena seja</p>
+
+<p>Isto significa que atualizar para uma nova versão nem sempre é recomendável,
+ ao invés disso, as alterações importantes devem ser consideradas. Geralmente
+ os mantenedores estão dispostos a ajudar, se o time de segurança do Debian
+ não está disponível.</p>
+
+<p>Em alguns casos não será possível corrigir imediatamente o problema de segurança, pois
+ envolve uma quantidade muito grande código a ser modificado ou reescrito. Se isto acontecer
+ será necessário mover a correção para próxima versão, mas isto
+ será coordenada pelo time de segurança antecipadamente.</p>
+
+<toc-add-entry name=version>O número da versão do pacote indica que a vulnerabilidade ainda existe!</toc-add-entry>
+<p>R: Ao invés de atualizar para uma nova versão nós corrigimos o problema de segurança e enviamos
+ para versão estável. A razão para isso é para termos certeza que a versão alterada
+ terá o mínimo de alterações possíveis para não causar mais problemas devido a correção
+ correção de segurança. Você pode verificar se está executando a versão segura
+ do pacote olhando o arquivo changelog, ou comparando-a com a exata versão
+ indicada no Debian Security Advisory.</p>
+
+<toc-add-entry name=archismissing>Eu recebi um aviso, mas parece que a versão para minha arquitetura está faltando.</toc-add-entry>
+<p>R: Geralmente o Time de Segurança manda um aviso com os pacotes a serem atualizados
+ para todas as arquiteturas suportados pelo Debian. Entretanto, algumas arquiteturas
+ são mais demoradas que outras para geração dos pacotes o que causa demora na sua
+ disponibilização. Isto representa uma pequena fração de nossa base de usuários.
+ Dependendo da urgência do problema podemos decidir divulgar o comunicado
+ imediatante. As versões faltando podem ser instaladas tão rapidamente possível
+ serão disponibilizadas, mas nenhum aviso adicional será enviado.
+ É claro que nunca mandaremos um aviso para i386 ou amd64
+ se não estão presentes neles.</p>
+
+<toc-add-entry name=unstable>Como a segurança é tratada para <tt>unstable</tt>?</toc-add-entry>
+<p>R: Segurança para unstable é geralmente tratada pelo mantenedor do pacote, não
+ pelo Time de Segurança. Embora o time de segurança possa fazer correções de urgência
+ quando o mantenedor do pacote não está disponível, o suporte á versão
+ stable sempre terá prioridade.
+ Se você quer manter a segurança (e estabilidade) no seu servidor, insistimos
+ que fique com a versão stable.</p>
+
+<toc-add-entry name=testing>Como a segurança é trata para <tt>testing</tt>?</toc-add-entry>
+<p>R: A segurança do testing se beneficia dos esforços da todo projeto para
+ unstable. Entretanto, há no mínimo dois dias de demora,
+ e algumas correções de segurança são mantidadas nesta transição. O Time de
+ Segurança ajuda na movimentação desta transição que contem importantes
+ atualizações de segurança, mas não é sempre que o atraso ocorre.
+ Especialmente em meses depois de uma nova versão stable, quando muitas versões
+ são transferidas para unstable, a correção para testes pode demorar.
+ Se você quer manter a segurança (e estabilidade) no seu servidor, insistimos
+ que fique com a versão stable.</p>
+
+<toc-add-entry name=contrib>Como é tratada a segurança para <tt>contrib</tt> e
+ <tt>non-free</tt>?</toc-add-entry>
+<p>R: Resposta curta: não é. Contrib e non-free não são partes
+ oficias da Distribuição Debian e não são versionadas, e também não
+ são suportadas pelo time de segurança. Alguns pacotes não-livres são distribuídos
+ sem código fonte ou sem licença permitindo distribuição ou modificação da versão.
+ Nesses casos, nenhuma correção de segurança pode ser feita. Se é possível
+ consertar o problema, e o mantenedor do pacote ou alguém conseguir
+ corrigir o pacote, então o time de segurança irá processá-lo
+ e enviar aviso.</p>
+
+<toc-add-entry name=sidversionisold>O aviso informa que unstable está corrigido na
+ versão 1.2.3-1, mas unstable usa 1.2.5-1, o que acontece?</toc-add-entry>
+<p>R: Nós tentamos informar a primeira versão que corrigiu o problema.
+ Algumas vezes o mantenedor atualizaou a versão mais nova nesse meio tempo.
+ Compare a versão do unstable com a versão indicada. Se ela é a mesma
+ ou maior, você pode checar o changelog do pacote com <tt>apt-get changelog
+ nome-do-pacote</tt> e olhar as correções realizadas.</p>
+
+<toc-add-entry name=mirror>Porque não há repositórios oficiais para security.debian.org?</toc-add-entry>
+<p>R: Atualmente, há. Há vários repositórios oficiais, implementados
+ através de outros DNS. O objetivo de security.debian.org é tornar segura as
+ atualizações disponíveis do modo mais rápido possível.</p>
+
+<p>Incentivar o uso de espelhos não oficiais acrescentaria complexidade extra
+ o que geralmente não é ncessário e pode causar frustações se algum
+ repositório não se mantiver atualizado.</p>
+
+<toc-add-entry name=missing>Eu tinha visto SPF 100 e SPF 102, onde está SPF DSA 101?</toc-add-entry>
+<p>R: Vários fornecedores (a maioria GNU/Linux, mas também derivados do BSD) que
+ coordenam avisos de segurança para alguns incidentes e
+ concordam com uma linha de tempo para alguns incidentes
+ e avisos sobre versão ao mesmo tempo. Isto foi decidido em conjunto
+ para não discriminar alguns fornecedores que precisam de mais tempo
+ (i.e. quando o fornecedor não passou os pacotes para o testes QA ou
+ não suporta algumas arquiteturas ou distribuição de binários). Da parte
+ do nosso time de segurança são preparados alguns avisos. De vez enquando
+ outros problemas de segurança são tratados antes do aviso sobre
+ aquela versão ser mandado, e consequentemente deixando de fora
+ um ou mais avisos por número.
</p>
-<toc-add-entry name=contact>Como posso entrar em contato com o Time de Segurança?</toc-add-entry>
+<toc-add-entry name=contact>Como eu posso contatar o time de segurança?</toc-add-entry>
-<p>R: Informações de segurança podem ser enviadas para security@debian.org ou
- team@security.debian.org, ambos são lidos pelos membros do Time de
- Segurança.
+<p>R: Informações sobre segurança pode ser mandados para security@debian.org our
+ team@security.debian.org, ambos serão lidos pelo time
+ de segurança.
</p>
-<p>Caso deseje, a mensagem pode ser criptografada com a chave do
- Contato de Segurança Debian (o ID da chave é <a
+<p>Se desejar, o email pode ser criptografado com o Debian Security
+ Contact key (key ID <a
href="http://pgp.surfnet.nl/pks/lookup?op=vindex&search=0x0D59D2B15144766A14D241C66BAF400B05C3E651">\
- 0x0D59D2B15144766A14D241C66BAF400B05C3E651</a>). Para as chaves PGP/GPG de cada um dos membros do time, por
- favor, consulte o servidor de chaves
- <a href="https://keyring.debian.org/">keyring.debian.org</a>.
+ 0x0D59D2B15144766A14D241C66BAF400B05C3E651</a>). Para chaves PGP/GPG individuais dos membros do time, por favor
+ vá para servidor de chaves
+ <a href="https://keyring.debian.org/">keyring.debian.org</a>
+</p>
<toc-add-entry name=discover>Eu acho que encontrei um problema de segurança, o que devo fazer?</toc-add-entry>
-<p>R: Se você descobrir um problema de segurança, tanto em um dos seus pacotes
- ou de outro desenvolvedor, por favor, entre em contato com o Time de
- Segurança. Se o Time de Segurança do Debian confirmar a vulnerabilidade e
- outros distribuidores também estiverem vulneráveis, eles geralmente contatam
- estes outros distribuidores. Se a vulnerabilidade ainda não é pública eles
- tentam coordenar os alertas de segurança com os dos outros distribuidores
- para que todas as principais distribuições fiquem sincronizadas.</p>
-
-<p>Se a vulnerabilidade já tiver sido divulgada publicamente, certifique-se
- de preencher um relatório de bug no Debian BTS e marcá-lo como
- <q>security</q>.</p>
-
-<p>Se você é um mantenedor Debian, <a href="#care">veja abaixo</a>.</p>
-
-<toc-add-entry name=care>O que eu devo fazer com um problema de segurança
- em um dos meus pacotes?</toc-add-entry>
-
-<p>R: Se você souber de algum problema de segurança, seja no seu pacote ou
- no de outra pessoa, por favor, não deixe de entrar em contato com o Time de
- Segurança. Você pode se comunicar com eles através do e-mail
- team@security.debian.org. Eles mantêm um relatório do andamento dos
- problemas de segurança, podem ajudar mantenedores com problemas de segurança
- ou até mesmo consertar eles mesmos estes problemas, são responsáveis por
- mandar os alertas de segurança e mantêm o security.debian.org.</p>
-
-<p>O documento <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
- Developer's Reference (Referência para Desenvolvedores)</a> tem instruções
- completas do que fazer.</p>
-
-<p>É particularmente importante que você não faça o upload para nenhuma outra
- distribuição além da instável (<q>unstable</q>) sem antes conversar com o
- Time de Segurança, pois isso pode causar confusão e mais trabalho.</p>
-
-<toc-add-entry name=enofile>Eu tentei baixar um pacote listado em um dos alertas de segurança, mas recebo um erro do tipo 'arquivo não encontrado'.</toc-add-entry>
-
-<p>R: Quando algum pacote que leva uma correção de bug substitui um pacote
- antigo em security.debian.org, as chances de que o antigo seja removido
- assim que o outro entrar são altas. Portanto, você irá
- receber o erro 'arquivo não encontrado'. Nós não queremos distribuir
- pacotes com erros de segurança conhecidos por um período de tempo maior
- do que o estritamente necessário.</p>
-
-<p>Por favor use os pacotes dos últimos alertas de segurança, que
- são distribuídos através da lista de discussão <a
- href="https://lists.debian.org/debian-security-announce/">\
- debian-security-announce</a>. É melhor simplesmente executar
- <code>apt-get update</code> antes de atualizar o pacote.</p>
-
-<toc-add-entry name=upload>Eu tenho uma correção de bug. Posso enviar para
- security.debian.org diretamente?</toc-add-entry>
-
-<p>R: Não, você não pode. O repositório em security.debian.org é mantido
- pelo Time de Segurança, que deve aprovar todos os pacotes. Em vez disso,
- você pode enviar patches ou pacotes-fonte apropriados para o Time de
- Segurança pelo e-mail team@security.debian.org. Eles serão revisados pelo
- Time de Segurança e eventualmente enviados ao repositório, com ou sem
- modificações.</p>
-
-<p>Se você não está acostumado com uploads de segurança e não tem
- 100% de certeza que seu pacote está correto, por favor use esta
- maneira e não envie para o diretório <q>incoming</q>. O Time de Segurança
- não tem muitas opções para lidar com pacotes quebrados, especialmente
- se eles não usam uma versão correta. Os pacotes atualmente não podem
- ser rejeitados e o <abbr title="Build Daemon - Daemon de construção">\
- buildd</abbr> poderia ficar confuso se isto fosse
- possível. Então, por favor use o e-mail e ajude evitando colocar mais
- peso para o Time de Segurança.</p>
-
-<p>O manual <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
- Developer's Reference (Referências para Desenvolvedores)</a> tem instruções
- completas do que fazer.</p>
-
-<toc-add-entry name=ppu>Eu tenho uma correção de bug. Posso enviar para o
- <q>proposed-updates</q> diretamente?</toc-add-entry>
-
-<p>A: Tecnicamente falando, você pode. No entanto, você não deve fazê-lo,
- uma vez que isso interfere no trabalho do Time de Segurança.
- Pacotes do security.debian.org serão copiados para o diretório
- <q>proposed-updates</q> automaticamente. Se um pacote com o mesmo número
- de versão ou com um número mais alto já se encontra no arquivo, a atualização
- de segurança será rejeitada pelo sistema de arquivamento. Dessa forma, a
- distribuição estável ficará sem uma atualização de segurança para este
- pacote, a menos que o pacote <q>errado</q> do diretório
- <q>proposed-updates</q> seja
- rejeitado. Por favor, em vez disso, contate o Time de Segurança, inclua
- todos os detalhes da vulnerabilidade e anexe os arquivos fontes (por
- exemplo, diff.gz e arquivos dsc) em seu e-mail.</p>
-
-<p>O manual <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
- Developer's Reference (Referências para Desenvolvedores)</a> tem instruções completas do que fazer.</p>
-
-<toc-add-entry name=SecurityUploadQueue>Eu tenho certeza que meus pacotes estão corretos, como posso enviá-los?</toc-add-entry>
-
-<p>R: Se você tem absoluta certeza que seus pacotes não irão quebrar alguma
- coisa, que a versão está correta (exemplo: maior do que a versão na
- <q>stable</q> e menor do que a versão na <q>testing/unstable</q>), que
- você não alterou o
- comportamento do pacote, apesar do problema de segurança correspondente, que
- você compilou ele para a distribuição correta (que é a
- <code>oldstable-security</code> ou <code>stable-security</code>), que contém
- o código fonte original se o pacote for novo no security.debian.org, que
- você pode confirmar que o patch da versão mais recente é claro e somente
- foi modificada a parte relacionada com o problema de segurança
- correspondente (verifique com <code>interdiff -z</code> e ambos arquivos
- <code>.diff.gz</code>), que você tenha revisado o patch pelo menos três
- vezes, e que o <code>debdiff</code> não tenha mostrado nenhuma mudança, você
- pode enviar diretamente os arquivos para o diretório <q>incoming</q>
- <code>ftp://ftp.security.upload.debian.org/pub/SecurityUploadQueue</code> em
- security.debian.org. Por favor, envie também uma notificação com todos
- os detalhes e links para o e-mail team@security.debian.org.</p>
+<p>R: Se você achou um problema de segurança em um de nossos pacotes
+ ou de alguém mais, por favor sempre contate o time de segurança. Se
+ o time de segurança do Debian confirmar a vulnerabilidade e que outro fornecedor
+ possa ser vulnerábel também, eles geralmnte contatam estes fornecedores.
+ Se a vulnerabilidade ainda não é pública eles irão coordenar juntos
+ avisos de segurança com outros fornecedores, em todas as principais
+ distribuições sincronizadas.</p>
+
+<p>Se a vulnerabilidade já é pública, tenha certeza de registrar o problema em
+ Debian BTS, e marcá-la como <q>security</q>.</p>
+
+<p>Se você é mantenedor Debian, <a href="#care">veja abaixo</a>.</p>
+
+<toc-add-entry name=care>O que se espera que eu faça com um problema de segurança no
+meu pacote?</toc-add-entry>
+
+<p>R: Se você conhece o problema de segurança, em seu pacote
+ ou de alguém mais, por favor sempre contate o time de segurança via email
+ em team@security.debian.org. Eles acompanharam os
+ problemas de segurança pendentes, podendo ajudar mantenedores com
+ problemas ou corrigir problemas por conta própria pois são responsáveis por
+ avisos de segurança e manter
+ security.debian.org.</p>
+
+<p>The <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
+ Referência de Desenvolvedores</a> tem as informações mais completas do que fazer.</p>
+
+<p>Isto é particularmente importante que você não suba nenhuma
+ distribuição a não ser unstable sem o consentimento do time
+ de segurança, passando por cima deles causa confusão e
+ mais trabalho.</p>
+
+<toc-add-entry name=enofile>Eu tentei baixar um pacote da lista de avisos de segurança, mas informou erro
+'arquivo não encontrado'.</toc-add-entry>
+
+<p>R: Sempre que uma correção de bug mais recente substitui um pacote mais antigo no
+ security.debian.org, são grandes as chances de o pacote antigo ser
+ removido quando o novo for instalado. Portanto, você terá
+ este erro "arquivo não encontrado". Não queremos distribuir pacotes
+ com erros de segurança conhecidos por mais tempo do que o absolutamente necessário. </p>
+
+<p> Use os pacotes dos últimos avisos de segurança, que são
+ distribuído através do <a
+ href = "https://lists.debian.org/debian-security-announce/"> \
+ lista de discussão debian-security-Announce </a>. É melhor simplesmente correr
+ <code> apt-get update </code> antes de atualizar o pacote. </p>
+
+<toc-add-entry name=upload>Eu tenho uma correção de bug, posso fazer o upload para security.debian.org diretamente?</toc-add-entry>
+
+<p> R: Não, você não pode. O arquivo em security.debian.org é mantido
+ pela equipe de segurança, que precisa aprovar todos os pacotes. Você deve
+ em vez disso, envie patches ou pacotes de origem adequados para a equipe de segurança
+ via team@security.debian.org. Eles serão
+ revisados pela equipe de segurança e, eventualmente, enviados, com
+ ou sem modificações. </p>
+
+<p>O <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
+ Referência de Desenvolvedores</a> possui instruções completas sobre o que fazer.</p>
+
+<toc-add-entry name=ppu>Eu tenho uma correção de erro. Posso subir as atualizações propostas?</toc-add-entry>
+
+<p> R: Tecnicamente falando, você pode. No entanto, você não deve fazer isso,
+ pois isso interfere muito no trabalho da equipe de segurança.
+ Os pacotes do security.debian.org serão copiados para o diretório
+ diretório de atualizações propostas automaticamente. Se um pacote com o
+ número de versão igual ou superior já está instalado no
+ archive, a atualização de segurança será rejeitada pelo archive
+ sistema. Dessa forma, a distribuição estável terminará sem um
+ atualização de segurança para este pacote, a menos que <q>wrong</q>
+ pacotes no diretório de atualizações propostas foram rejeitados. Entre em contato com o
+ equipe de segurança e inclua todos os detalhes da vulnerabilidade
+ e anexe os arquivos de origem (ou seja, arquivos diff.gz e dsc) ao seu e-mail. </p>
+
+<p>O <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
+ Referência de Desenvolvedores</a> possui instruções completas sobre o que fazer.</p>
+
+<toc-add-entry name=SecurityUploadQueue>Tenho certeza de que meus pacotes estão bem,
+ como posso carregá-los?</toc-add-entry>
+
+<p> R: Se você tiver certeza de que seus pacotes não quebram nada, que o
+ versão é sã (ou seja, maior que a versão estável e menor que a
+ versão no testing/unstable), que você não alterou o comportamento do
+ pacote, apesar do problema de segurança correspondente, que você o compilou
+ para a distribuição correta (ou seja, <code> oldstable-security </code> ou
+ <code> stable-security </code>), que o pacote contém o original
+ fonte se o pacote for novo no security.debian.org, que você pode confirmar
+ o patch contra a versão mais recente é limpo e apenas toca o
+ problema de segurança correspondente (verifique com <code> interdiff -z </code> e
+ arquivos <code> .diff.gz </code>), que você revisou o patch em
+ menos três vezes e que <code> debdiff </code> não exiba nenhuma alteração,
+ você pode carregar os arquivos no diretório de entrada
+ <code> ftp://ftp.security.upload.debian.org/pub/SecurityUploadQueue </code> no
+ security.debian.org diretamente. Envie uma notificação com todos os detalhes
+ e links para team@security.debian.org também. </p>
<toc-add-entry name=help>Como posso ajudar com a segurança?</toc-add-entry>
-<p>R: Por favor, reveja cada problema antes de informá-lo ao
- security@debian.org. Se você for capaz de fornecer patches,
- isto aumentaria a velocidade do processo. Não encaminhe
- e-mails do bugtraq, simplesmente, porque nós já os recebemos
- — mas nos forneça informações adicionais sobre
- o que foi relatado no bugtraq.</p>
-
- <p>Uma boa forma de começar com o trabalho de segurança é ajudando
- com o Rastreador de Segurança Debian (<a
- href="https://security-tracker.debian.org/tracker/data/report">instruções</a>).</p>
-
-<toc-add-entry name=proposed-updates>Qual é o escopo do <q>proposed-updates</q>?</toc-add-entry>
-<p>R: Este diretório contém pacotes que são sugeridos para entrar
- na próxima versão estável do Debian. Sempre que pacotes são enviados
- por um mantenedor para a distribuição estável, eles acabam no
- diretório <q>proposed-updates</q>. Já que a estável é feita para ser estável,
- atualizações automáticas não são realizadas. O Time de Segurança irá
- enviar pacotes corrigidos mencionados em alertas para a estável,
- no entanto, eles serão colocados no <q>proposed-updates</q> antes. A cada
- dois meses, o Gerente da Distribuição Estável confere a lista de pacotes
- do <q>proposed-updates</q> e discute se um pacote serve ou não para a
- estável.
- Então, os escolhidos são compilados em uma nova versão da estável
- (e.x. 2.2r3 ou 2.2r4). Pacotes que não se encaixam na versão estável
- provavelmente serão rejeitados e também descartados do
- <q>proposed-updates</q>.
-</p>
-
- <p>Note que pacotes com uploads feitos pelos mantenedores (não pelo time
- de segurança) no diretório proposed-updates/ não são suportados pelo time
- de segurança.</p>
-
-<toc-add-entry name=composing>Como o Time de Segurança é composto?</toc-add-entry>
-<p>R: O Time de Segurança do Debian consiste em
- <a href="../intro/organization">alguns oficiais e secretários</a>.
- O próprio Time de Segurança designa pessoas para se juntar ao grupo.</p>
-
-<toc-add-entry name=lifespan>Por quanto tempo as atualizações de segurança são fornecidas?</toc-add-entry>
-<p>R: O time de segurança tenta dar suporte à distribuição estável por mais
- ou menos um ano depois que uma próxima distribuição estável é lançada, exceto
- quando uma outra distribuição estável é lançada neste período. É impossível
- dar suporte a três distribuições; dar suporte a duas simultaneamente já é
- difícil o bastante.
-</p>
+<p> R: Revise cada problema antes de relatá-lo à
+ security@debian.org. Se você puder fornecer patches, esse
+ aceleraria o processo. Não encaminhe simplesmente correios de bugtraq,
+ porque já os recebemos — mas nos forneça
+ informações adicionais sobre coisas relatadas no bugtraq. </p>
+
+<p> Uma boa maneira de começar o trabalho de segurança é ajudando
+ no Debian Security Tracker (<a
+ href = "https://security-tracker.debian.org/tracker/data/report"> instruções </a>). </p>
+
+<toc-add-entry name=proposed-updates>Qual é o escopo das atualizações propostas?</toc-add-entry>
+<p> R: Este diretório contém pacotes que são propostos para inserir o
+ próxima revisão do Debian estável. Sempre que os pacotes são enviados por
+ mantenedor da distribuição estável, eles acabam no
+ diretório de atualizações propostas. Uma vez que estável deve ser estável, não há
+ atualizações automáticas a serem feitas. A equipe de segurança fará a subida fixa dos
+ pacotes mencionados em seus avisos para stable, porém eles colocarão
+ atualizações propostas primeiro. A cada dois meses, o
+ O Stable Release Manager verifica a lista de pacotes em
+ atualizações propostas e discute se um pacote é adequado para
+ stable ou não. Isso é compilado em outra revisão do stable
+ (por exemplo, 2.2r3 ou 2.2r4). Pacotes que não se encaixam provavelmente serão
+ rejeitado e retirado das atualizações propostas também.
+ </p>
+
+<p> Observe que os pacotes enviados pelos mantenedores (não pela equipe de segurança)
+ no diretório proposed-updates/ não são suportados pelo sistema de segurança
+ equipe. </p>
+
+<toc-add-entry name=composing> Como é composta a equipe de segurança? </toc-add-entry>
+ <p> R: A equipe de segurança Debian consiste em
+ <a href="../intro/organization#security"> vários oficiais e secretários </a>.
+ A própria equipe de segurança nomeia pessoas para ingressar na equipe. </p>
+
+<toc-add-entry name=lifespan> Por quanto tempo as atualizações de segurança serão fornecidas? </toc-add-entry>
+ <p> R: A equipe de segurança tenta oferecer suporte a uma distribuição stable para
+ cerca de um ano após a próxima distribuição stable
+ liberada, exceto quando outra distribuição stable é liberada
+ dentro deste ano. Não é possível suportar três
+ distribuições; apoiar dois simultaneamente já é difícil
+ o suficiente.
+ </p>
+
+<toc-add-entry name=check> Como posso verificar a integridade dos pacotes? </toc-add-entry>
+ <p> R: Esse processo envolve a verificação da assinatura do arquivo Release contra
+ o <a href="https://ftp-master.debian.org/keys.html">\
+ chave pública </a> usada para o arquivo. O arquivo Release contém o
+ somas de verificação de arquivos de pacotes e fontes, que contêm
+ somas de verificação de pacotes binários e de origem. Instruções detalhadas sobre como
+ para verificar a integridade dos pacotes pode ser encontrado no <a
+ href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\
+ Manual de Segurança Debian </a>. </p>
+
+<toc-add-entry name=break> O que fazer se um pacote aleatório for interrompido após uma atualização de segurança? </toc-add-entry>
+ <p> R: Antes de tudo, você deve descobrir por que o pacote quebra e
+ como está conectado à atualização de segurança, entre em contato com o
+ equipe de segurança, se for grave, ou o gerente de versão estável, se
+ é menos grave. Estamos falando de pacotes aleatórios que quebram
+ após uma atualização de segurança de um pacote diferente. Se você não puder
+ descobrir o que está errado, mas tem uma correção, converse com o
+ equipe de segurança também. Você pode ser redirecionado para a gerenciamento da
+ versão stable. </p>
+
+<toc-add-entry name=cvewhat> O que é um identificador CVE? </toc-add-entry>
+ <p> R: O projeto Vulnerabilidades e exposições comuns atribui
+ nomes exclusivos, chamados identificadores CVE, para segurança específica
+ vulnerabilidades, para facilitar a referência exclusiva a um determinado
+ questão. Mais informações podem ser encontradas em <a
+ href="http://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures">\
+ Wikipedia </a>. </p>
+
+<toc-add-entry name=cvedsa> O Debian emite um DSA para cada ID de CVE? </toc-add-entry>
+ <p> R: A equipe de segurança da Debian rastreia todos os identificadores CVE emitidos,
+ conecte-o ao pacote Debian relevante e avalie seu impacto em um
+ Contexto Debian - o fato de algo ser atribuído a um ID do CVE não
+ implica necessariamente que o problema seja uma séria ameaça ao sistema Debian.
+ Esta informação é rastreada no
+ <a href="https://security-tracker.debian.org"> Rastreador de Segurança Debian </a>
+ e para os problemas considerados sérios, um Aviso de Segurança Debian
+ será emitido. </p>
+
+<p> Problemas de baixo impacto não qualificados para um DSA podem ser corrigidos na próxima
+ lançamento do Debian, em um lançamento pontual do atual stable ou oldstable
+ distribuições ou estão incluídas em um DSA quando este está sendo emitido para um
+ vulnerabilidade mais séria. </p>
+
+<toc-add-entry name=cveget> O Debian pode atribuir identificadores CVE? </toc-add-entry>
+ <p> R: O Debian é uma autoridade de numeração do CVE e pode atribuir IDs, mas por
+ Política do CVE apenas para questões ainda não divulgadas. Se você tem um segredo
+ vulnerabilidade de segurança para software no Debian e gostaria de obter uma
+ identificador, entre em contato com a equipe de segurança da Debian. Nos casos em que o
+ vulnerabilidade já é pública, aconselhamos a seguir o procedimento
+ detalhado em <a
+ href="https://github.com/RedHatProductSecurity/CVE-HOWTO">\
+ HOWTO de solicitação de código aberto do CVE </a>. </p>
+
+<toc-add-entry name=disclosure-policy> O Debian tem uma política de divulgação de vulnerabilidades? </toc-add-entry>
+ <p> R: O Debian publicou uma vulnerabilidade <a href="disclosure-policy">
+ política de divulgação </a> como parte de sua participação no CVE
+ programa.
+
+<h1> Perguntas frequentes sobre segurança Debian obsoleta </h1>
+<toc-add-entry name=localremote> O que <q> local (remoto) </q> significa? </toc-add-entry>
+ <p> <b> O campo <i> Tipo de problema </i> nos e-mails do DSA não é usado desde abril de 2014. </b> <br/>
+ R: Alguns avisos cobrem vulnerabilidades que não podem ser identificadas
+ com o esquema clássico de exploração local e remota. Alguns
+ vulnerabilidades não podem ser exploradas remotamente, ou seja, não
+ corresponde a um daemon ouvindo uma porta de rede. Se eles podem ser
+ explorado por arquivos especiais que poderiam ser fornecidos via rede
+ enquanto o serviço vulnerável não estiver permanentemente conectado ao
+ rede, escrevemos <q> local (remoto) </q> nesses casos. </p>
+
+ <p> Tais vulnerabilidades estão entre locais e remotas
+ vulnerabilidades e geralmente cobrem arquivos que poderiam ser fornecidos
+ através da rede, por exemplo como anexo de email ou de um download
+ página. </p>
-<toc-add-entry name=check>Como verifico a integridade de um pacote?</toc-add-entry>
-<p>R: É preciso verificar a assinatura do arquivo Release com a
- <a href="https://ftp-master.debian.org/keys.html">\
- chave pública</a> usada para armazenamento. O arquivo Release
- contém os checksums os arquivos Packages e Sources, que contêm os
- checksums dos pacotes binários e fontes. Mais informações de como
- verificar a integridade dos pacotes podem ser encontradas no <a
- href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\
- Manual de Segurança do Debian</a>.</p>
-
-<toc-add-entry name=break>O que fazer quando um pacote aleatório quebra após
- uma atualização de segurança?</toc-add-entry>
-<p>R: Antes de mais nada, você deve descobrir por que o pacote quebrou e como
- isto está conectado à atualização de segurança, então contate o time de
- segurança se isto for sério ou o gerente da distribuição estável se for menos
- sério. Nós estamos falando de pacotes aleatórios que quebram após uma
- atualização de segurança de um pacote diferente. Se você não pode descobrir
- o que deu errado mas tem uma correção, fale com o time de segurança também.
- É possível que você seja redirecionado ao gerente da distribuição estável.</p>
Reply to: