[RFR] wml://www.debian.org/security/faq.wml

To: tradução <debian-l10n-portuguese@lists.debian.org>
Subject: [RFR] wml://www.debian.org/security/faq.wml
From: Wagner Marcuci <wmarcuci@hotmail.com>
Date: Sat, 16 May 2020 19:48:53 -0300
Message-id: <[🔎] BN8PR14MB3393F8FF2F3B963B86C5DEA2DABA0@BN8PR14MB3393.namprd14.prod.outlook.com>
In-reply-to: <[🔎] BN8PR14MB3393A9F779FCED9D493A1221DABA0@BN8PR14MB3393.namprd14.prod.outlook.com>
References: <[🔎] BN8PR14MB3393A9F779FCED9D493A1221DABA0@BN8PR14MB3393.namprd14.prod.outlook.com>

Boa Noite,

correção em anexo.

Obrigado.

--------------
Wagner Marcuci

On Sat, 2020-05-16 at 16:40 -0300, Wagner Marcuci wrote:
> Boa Tarde,
> 
> estarei atualizando a página acima em Outdated translations.
> 
> https://www.debian.org/devel/website/stats/pt#outdated
> 
> Obrigado.
> 
> --------------
> Wagner Marcuci
> 
>

diff --git a/portuguese/security/faq.wml b/portuguese/security/faq.wml
index 8d7e69846eb..e2a80e361d2 100644
--- a/portuguese/security/faq.wml
+++ b/portuguese/security/faq.wml
@@ -1,5 +1,5 @@
 #use wml::debian::template title="FAQ de Segurança Debian"
-#use wml::debian::translation-check translation="eb8bddb240089bdcf690ddd74297f6358992eb1e" translation_maintainer="Felipe Augusto van de Wiel (faw)"
+#use wml::debian::translation-check translation="6e1fa2e1aabb151dc8ce2445ee60cc40675fb927" translation_maintainer="Felipe Augusto van de Wiel (faw)"
 #include "$(ENGLISHDIR)/security/faq.inc"
 
 <p>Nós recebemos as seguintes perguntas frequentemente, então suas respostas
@@ -7,363 +7,381 @@ estão resumidas aqui.</p>
 
 <maketoc>
 
-<toc-add-entry name=signature>Não consegui verificar corretamente a assinatura em seus alertas!</toc-add-entry>
-<p>R: Provavelmente você está fazendo algo errado. A lista
-   <a href="https://lists.debian.org/debian-security-announce/";>\
-   debian-security-announce</a> possui um filtro que só permite que mensagens
-   com a assinatura correta de um dos membros do time de segurança sejam
-   postadas.</p>
-
-<p>Provavelmente, seu software de e-mail está alterando sutilmente
-   a mensagem, o que invalida a assinatura. Certifique-se de que seu
-   programa não faça codificação ou decodificação MIME, assim como
-   conversões de tabulação/espaços.</p>
-
-<p>Alguns softwares que fazem isso são o fetchmail (com a opção mimedecode
-   habilitada), o formail (do procmail versão 3.14) e o evolution.</p>
-
-<toc-add-entry name=handling>Como o Debian lida com a segurança?</toc-add-entry>
-<p>R: Assim que o Time de Segurança recebe uma notificação sobre um
-   incidente, um ou mais membros revisam e avaliam seu impacto sobre
-   a versão estável do Debian (ou seja, se ela é vulnerável ou não). Se nosso
-   sistema é vulnerável, nós trabalhamos em uma correção para o problema.
-   O mantenedor do pacote é contatado também, se ele já não contatou
-   o Time de Segurança. Finalmente, a correção é testada e novos pacotes
-   são preparados, compilados em todas as arquiteturas da versão estável e
-   é feito o envio dos mesmos. Depois de tudo isso, um alerta é publicado.
-</p>
+<toc-add-entry name=buthow>Eu recebi a SPF via debian-security-announce, como eu atualiza vulnerabilidades no pacote?</toc-add-entry>
+
+<p>R: Como SPF diz, você deveria atualizar o pacote em questão através 
+  da vulnerabilidade anunciada. Você pode fazer isto atualizando (depois de 
+  atualiza a lista de pacotes vulneráveis com <tt>apt-get update</tt>)
+  cada pacote no sistema com <tt>apt-get upgrade</tt> ou pela atualização 
+  somente daquele pacote, com <tt>apt-get install
+  <i>package</i></tt>.</p>
+
+<p>Vários emails informam que o próprio pacote mencionada qual vulnerabilidade está
+   presente. Portando, você deverá atualizar todos os binários deste pacote.
+   Para verificar quais binários do pacote devem ser atualizados, visite
+   <tt>https://packages.debian.org/src:<i>source-package-name</i></tt> e
+   clique emn <i>[show ... binary packages]</i> para distribuição que você
+   está atualizando.</p>
+
+<p>Talvez seja necessário reiniciar o sistema ou serviço afetado. O 
+   comando <a href="https://manpages.debian.org/checkrestart";><tt>checkrestart</tt></a>
+   incluído no pacote
+   <a href="https://packages.debian.org/debian-goodies";>debian-goodies</a>
+   pode ajudar a encontrá-los.</p>
 
-<toc-add-entry name=oldversion>Por que vocês insistem em uma versão antiga
-de determinado pacote?</toc-add-entry>
-
-<p>R: A regra mais importante quando está se fazendo um novo pacote que corrige
-   problemas de segurança é fazer o menor número possível de alterações. Nossos
-   usuários e desenvolvedores estão confiando no comportamento correto de uma
-   versão, uma vez que ela é lançada, então qualquer mudança que fazemos tem o
-   potencial de quebrar o sistema de alguém. Isso é verdade especialmente no
-   caso de bibliotecas: certifique-se de nunca modificar a Application Program
-   Interface (API) ou Application Binary Interface (ABI), não importa quão
-   pequena seja essa alteração.</p>
-
-<p>Isso significa que mudar para a nova versão do autor não é uma boa
-   solução, em vez disso, as alterações relevantes devem ser adaptadas à versão
-   antiga. Geralmente os autores dessas novas versões se dispõem a ajudar se for
-   preciso, se não, o Time de Segurança do Debian pode estar disponível para
-   ajudar.</p>
-
-<p>Em alguns casos não é possível adaptar a versão antiga a uma correção de
-   segurança, por exemplo quando uma grande quantidade de código fonte precisa
-   ser modificada ou rescrita. Se isto acontecer pode ser necessário mudar
-   para a nova versão do autor, mas isso deve ser coordenado antecipadamente
-   com o Time de Segurança.</p>
-
-<toc-add-entry name=policy>Qual é a política usada para que pacotes corrigidos
-   apareçam no security.debian.org?</toc-add-entry>
-
-<p>R: Erros de segurança na distribuição estável garantem a aparição
-   de um pacote no security.debian.org. Nada mais. O tamanho
-   do erro não é o problema real aqui. Normalmente, o Time de Segurança
-   irá preparar pacotes juntamente com o mantenedor do pacote. Desde que
-   alguém (confiável) investigue o problema e construa os pacotes necessários
-   e os envie ao Time de Segurança, mesmo problemas de segurança triviais
-   irão entrar no security.debian.org. Por favor, veja abaixo.</p>
-
-<p>Atualizações de segurança têm um único propósito: fornecer uma correção para
-   uma vulnerabilidade relacionada à segurança. Elas não são um método para
-   enviar mudanças adicionais à versão estável sem realizar o procedimento de
-   lançamento normal.</p>
-
-<toc-add-entry name=localremote>O que significa <q>local (remote)</q>?</toc-add-entry>
-<p>R: Alguns alertas tratam de vulnerabilidades que não podem ser identificadas
-   usando o esquema clássico de explorações locais ou remotas. Algumas
-   vulnerabilidades não podem ser exploradas remotamente, ou seja, não
-   correspondem a um <em>daemon</em> associado a uma porta de rede.
-   Nos casos em que é possível explorá-las através de arquivos especiais
-   que possam estar disponíveis via rede enquanto o serviço
-   vulnerável não se encontra conectado permanentemente com a rede,
-   nós utilizamos <q>local (remote)</q>.
-
-<p>Essas vulnerabilidades estão entre as vulnerabilidades locais e
-   as remotas, e muitas vezes dizem respeito a arquivos que poderiam ser
-   disponibilizados através da rede, como um anexo de correio eletrônico
-   ou por uma página de download.</p>
-
-<toc-add-entry name=version>O número de versão de um pacote indica que eu ainda
-   estou executando uma versão vulnerável!</toc-add-entry>
-<p>R: Ao invés de atualizar para uma versão nova nós adaptamos correções
-   de segurança das versões mais novas para a versão lançada com a distribuição
-   estável. A razão para que façamos isto é certificar-nos de que uma
-   distribuição mude o mínimo possível, de forma que nada quebre ou mude
-   inesperadamente, como consequência de uma correção de segurança. Você pode
-   checar se está executando uma versão segura de um pacote verificando o seu
-   registro de mudanças, ou comparando o número exato da versão com a versão
-   indicada no Alerta de Segurança Debian.</p>
-
-<toc-add-entry name=unstable>Como a segurança é feita na <tt>unstable</tt>?</toc-add-entry>
-<p>R: A resposta curta é: não é feita. A <q>unstable</q> é uma alvo móvel
-   rápido e o time de segurança não tem os recursos necessários para suportá-la
-   apropriadamente. Se você quer ter um servidor seguro (e estável) você
-   é fortemente encorajado a fica com a <q>stable</q>.</p>
-
-<toc-add-entry name=testing>Como a segurança é feita na <tt>testing</tt>?</toc-add-entry>
-<p>R: Se você quer ter um servidor seguro (e estável) você é fortemente
-   encorajado a ficar com a <q>stable</q>. No entanto, há suporte
-   de segurança para a <q>testing</q>: O time de segurança da
-   <q>testing</q> do Debian lida com problemas para a
-   <q>testing</q>. Eles vão assegurar que os pacotes corrigidos entrem
-   na <q>testing</q> na forma usual através da migração a partir da
-   <q>unstable</q> (com tempo de quarentena reduzido), ou, se isto levar
-   muito tempo, torná-los disponível através da infra-estrutura normal em <a
-   href="http://security.debian.org";>http://security.debian.org</a>.
-   Para usá-la, tenha certeza de ter a seguinte linha em seu
-   <code>/etc/apt/sources.list</code>:</p>
-   <p><code>deb http://security.debian.org testing/updates main</code></p>
-   <p>e execute <code>apt-get update &amp;&amp; apt-get upgrade</code>
-   como de costume.</p>
-   <p>Note que isso não garante que todos os bugs de segurança conhecidos são
-   corrigidos na <q>testing</q>! Alguns pacotes atualizados podem estar
-   aguardando a transição para a <q>testing</q>. Mais informação sobre a
-   infraestrutura de segurança para a <q>testing</q> pode ser encontrada em <a
-   href="http://secure-testing-master.debian.net/";>\
-   http://secure-testing-master.debian.net/</a>.</p>
-
-<toc-add-entry name=contrib>Como a segurança é feita para o <tt><q>contrib</q></tt> e <tt><q>non-free</q></tt>?</toc-add-entry>
-
-<p>A: A resposta curta é: não é feita. A <q>contrib</q> e <q>non-free</q> não
-   fazem parte oficialmente da Distribuição Debian e não são lançadas, por
-   isso não são suportadas pelo Time de Segurança. Alguns pacotes <q>non-free</q>
-   são distribuídos sem o código fonte ou com uma licença que não permite a
-   distribuição de versões modificadas. Nesses casos, nenhuma correção de
-   segurança pode ser feita. Se for possível corrigir o problema, e o
-   mantenedor do pacote ou alguma outra pessoa fornecer pacotes corrigidos,
-   o Time de Segurança geralmente irá processá-los e publicar um alerta.</p>
-
-<toc-add-entry name=sidversionisold>O alerta diz que a instável (<q>unstable</q>) foi corrigida na versão 1.2.3-1, mas a instável (<q>unstable</q>) contém a
-1.2.5-1, o que aconteceu?</toc-add-entry>
-
-<p>A: Nós tentamos listas a primeira versão na instável (<q>unstable</q>) que
-   corrigiu o problemas. Algumas vezes o mantenedor enviou versões mais novas
-   neste meio tempo. Compare a versão na instável (<q>unstable</q>) com a
-   versão que nós indicamos. Se for a mesma ou maior, você deverá estar seguro
-   com relação a esta vulnerabilidade.</p>
-
-
-<toc-add-entry name=mirror>Por que não há espelhos oficiais de security.debian.org?</toc-add-entry>
-
-
-<p>R: Na verdade, há. Há vários espelhos oficiais, implementados através de
-apelidos DNS (<q>DNS aliases</q>). O propósito de security.debian.org é tornar
-atualizações de segurança disponíveis da maneira mais rápida e fácil possível.
-</p>
 
-   <p>Encorajar o uso de espelhos não-oficiais poderá causar uma complexidade
-   extra desnecessária e a frustração de encontrar um desses espelhos
-   desatualizados.</p>
-
-<toc-add-entry name=missing>Vi o DSA 100 e o DSA 102, agora, onde está o DSA 101?</toc-add-entry>
-<p>R: Vários distribuidores (a maioria deles de GNU/Linux, mas também
-   de variações do BSD) coordenam alertas de segurança para alguns
-   incidentes e concordam com uma determinada linha de tempo para
-   que todos os distribuidores possam lançar um aviso ao mesmo tempo.
-   Isso foi decidido para que não haja discriminação com alguns distribuidores
-   que precisam de mais tempo (por exemplo, quando o distribuidor tem de
-   passar os pacotes por longos testes de controle de qualidade
-   ou suporta diversas arquiteturas ou distribuições binárias).
-   Nosso Time de Segurança também prepara avisos com antecedência.
-   Dependendo da situação, outros problemas de segurança têm de ser
-   trabalhados antes do aviso "estacionado" ser lançado, e isso
-   causa a lacuna na numeração dos avisos.
+<toc-add-entry name=signature>A assinatura nos seus avisos não é verificada corretamente!</toc-add-entry>
+<p>R: É mais provável que seja um problema do seu lado. A lista 
+   <a href="https://lists.debian.org/debian-security-announce/";>\
+   debian-security-announce</a>
+   tem um filtro que somente permite assinaturas corretas
+   vindas do time de segurança que as envia.</p>
+
+<p>É mais provável que o seu email esteja com problemas como quebrando
+   a linha da assinatura. Tenha certeza que seu software não faça codificação
+   ou decodifição das mensagens MIME, ou conversões da tecla tab ou espaço.</p>
+
+<p>Problemas relatados no fetchmail (opção mimedecode ativada),
+   formail (somente versão procmail 3.14 ) e posteriores.</p>
+
+<toc-add-entry name="handling">Como um problema de segurança no Debian é tratado?</toc-add-entry>
+<p>R: Uma vez que o time de segurança recebe a notificação do incidente,
+   um ou mais membros verificam qual o impacto na versão estável
+   do Debian ( i.e. se é uma vulnerabilidade ou não ).
+   Se for uma vulnerabilidade, trabalharão para consertar o 
+   problema. O mantenedor do pacote será contatado, se já não
+   tiver sido, pelo time de segurança. Finalmente, a correção é testada e
+   novos pacote serão preparados, na qual será compilada em toda arquitetura
+   da versão estável e posteriormente atualizada. Depois de tudo isso,
+   um aviso será publicado.</p>
+
+<toc-add-entry name=oldversion>Porque você utiliza a versão antiga dos pacotes?</toc-add-entry>
+
+<p>A orientação mais importante quando fazemos novos pacotes com correções de  
+   um problema de segurança é fazer o mínimo de alterações possíveis. Nossos usuários e
+   desenvolvedores contam com o comportamento exato de uma versão uma vez que
+   é feita, para que nenhuma alteração possa quebrar o sistema de alguém.
+   Isto é especialmente verdade no caso de bibliotecas: tenha certeza que a alteração
+   nunca altere Application Program Interface (API) ou Application Binary Interface (ABI),
+   não importa quão pequena seja</p>
+
+<p>Isto significa que atualizar para uma nova versão nem sempre é recomendável,
+   ao invés disso, as alterações importantes devem ser consideradas. Geralmente
+   os mantenedores estão dispostos a ajudar, se o time de segurança do Debian
+   não está disponível.</p>
+
+<p>Em alguns casos não será possível corrigir imediatamente o problema de segurança, pois
+   envolve uma quantidade muito grande código a ser modificado ou reescrito. Se isto acontecer
+   será necessário mover a correção para próxima versão, mas isto 
+   será coordenada pelo time de segurança antecipadamente.</p>
+
+<toc-add-entry name=version>O número da versão do pacote indica que a vulnerabilidade ainda existe!</toc-add-entry>
+<p>R: Ao invés de atualizar para uma nova versão nós corrigimos o problema de segurança e enviamos
+   para versão estável. A razão para isso é para termos certeza que a versão alterada
+   terá o mínimo de alterações possíveis para não causar mais problemas devido a correção
+   correção de segurança. Você pode verificar se está executando a versão segura
+   do pacote olhando o arquivo changelog, ou comparando-a com a exata versão
+   indicada no Debian Security Advisory.</p>
+
+<toc-add-entry name=archismissing>Eu recebi um aviso, mas parece que a versão para minha arquitetura está faltando.</toc-add-entry>
+<p>R: Geralmente o Time de Segurança manda um aviso com os pacotes a serem atualizados 
+   para todas as arquiteturas suportados pelo Debian. Entretanto, algumas arquiteturas 
+   são mais demoradas que outras para geração dos pacotes o que causa demora na sua
+   disponibilização. Isto representa uma pequena fração de nossa base de usuários.
+   Dependendo da urgência do problema podemos decidir divulgar o comunicado
+   imediatante. As versões faltando podem ser instaladas tão rapidamente possível
+   serão disponibilizadas, mas nenhum aviso adicional será enviado.
+   É claro que nunca mandaremos um aviso para i386 ou amd64
+   se não estão presentes neles.</p>
+
+<toc-add-entry name=unstable>Como a segurança é tratada para <tt>unstable</tt>?</toc-add-entry>
+<p>R: Segurança para unstable é geralmente tratada pelo mantenedor do pacote, não 
+   pelo Time de Segurança. Embora o time de segurança possa fazer correções de urgência
+   quando o mantenedor do pacote não está disponível, o suporte á versão
+   stable sempre terá prioridade.
+   Se você quer manter a segurança (e estabilidade) no seu servidor, insistimos
+   que fique com a versão stable.</p>
+
+<toc-add-entry name=testing>Como a segurança é trata para <tt>testing</tt>?</toc-add-entry>
+<p>R: A segurança do testing se beneficia dos esforços da todo projeto para
+   unstable. Entretanto, há no mínimo dois dias de demora,
+   e algumas correções de segurança são mantidadas nesta transição. O Time de
+   Segurança ajuda na movimentação desta transição que contem importantes 
+   atualizações de segurança, mas não é sempre que o atraso ocorre.
+   Especialmente em meses depois de uma nova versão stable, quando muitas versões
+   são transferidas para unstable, a correção para testes pode demorar.
+   Se você quer manter a segurança (e estabilidade) no seu servidor, insistimos
+   que fique com a versão stable.</p>
+
+<toc-add-entry name=contrib>Como é tratada a segurança para <tt>contrib</tt> e
+  <tt>non-free</tt>?</toc-add-entry>
+<p>R: Resposta curta: não é. Contrib e non-free não são partes
+   oficias da Distribuição Debian e não são versionadas, e também não
+   são suportadas pelo time de segurança. Alguns pacotes não-livres são distribuídos
+   sem código fonte ou sem licença permitindo distribuição ou modificação da versão.
+   Nesses casos, nenhuma correção de segurança pode ser feita. Se é possível
+   consertar o problema, e o mantenedor do pacote ou alguém conseguir
+   corrigir o pacote, então o time de segurança irá processá-lo
+   e enviar aviso.</p>
+
+<toc-add-entry name=sidversionisold>O aviso informa que unstable está corrigido na 
+  versão 1.2.3-1, mas unstable usa 1.2.5-1, o que acontece?</toc-add-entry>
+<p>R: Nós tentamos informar a primeira versão que corrigiu o problema.
+   Algumas vezes o mantenedor atualizaou a versão mais nova nesse meio tempo.
+   Compare a versão do unstable com a versão indicada. Se ela é a mesma
+   ou maior, você pode checar o changelog do pacote com <tt>apt-get changelog
+   nome-do-pacote</tt> e olhar as correções realizadas.</p>
+
+<toc-add-entry name=mirror>Porque não há repositórios oficiais para security.debian.org?</toc-add-entry>
+<p>R: Atualmente, há. Há vários repositórios oficiais, implementados
+   através de outros DNS. O objetivo de security.debian.org é tornar segura as
+   atualizações disponíveis do modo mais rápido possível.</p>
+
+<p>Incentivar o uso de espelhos não oficiais acrescentaria complexidade extra 
+   o que geralmente não é ncessário e pode causar frustações se algum
+   repositório não se mantiver atualizado.</p>
+
+<toc-add-entry name=missing>Eu tinha visto SPF 100 e SPF 102, onde está SPF DSA 101?</toc-add-entry>
+<p>R: Vários fornecedores (a maioria GNU/Linux, mas também derivados do BSD) que 
+   coordenam avisos de segurança para alguns incidentes e 
+   concordam com uma linha de tempo para alguns incidentes 
+   e avisos sobre versão ao mesmo tempo.  Isto foi decidido em conjunto
+   para não discriminar alguns fornecedores que precisam de mais tempo
+   (i.e. quando o fornecedor não passou os pacotes para o testes QA ou 
+   não suporta algumas arquiteturas ou distribuição de binários). Da parte
+   do nosso time de segurança são preparados alguns avisos. De vez enquando
+   outros problemas de segurança são tratados antes do aviso sobre
+   aquela versão ser mandado, e consequentemente deixando de fora
+   um ou mais avisos por número.
 </p>
 
-<toc-add-entry name=contact>Como posso entrar em contato com o Time de Segurança?</toc-add-entry>
+<toc-add-entry name=contact>Como eu posso contatar o time de segurança?</toc-add-entry>
 
-<p>R: Informações de segurança podem ser enviadas para security@debian.org ou
-   team@security.debian.org, ambos são lidos pelos membros do Time de
-   Segurança.
+<p>R: Informações sobre segurança pode ser mandados para security@debian.org our
+   team@security.debian.org, ambos serão lidos pelo time
+   de segurança.
 </p>
 
-<p>Caso deseje, a mensagem pode ser criptografada com a chave do
-   Contato de Segurança Debian (o ID da chave é <a
+<p>Se desejar, o email pode ser criptografado com o Debian Security
+   Contact key (key ID <a
    href="http://pgp.surfnet.nl/pks/lookup?op=vindex&amp;search=0x0D59D2B15144766A14D241C66BAF400B05C3E651";>\
-   0x0D59D2B15144766A14D241C66BAF400B05C3E651</a>). Para as chaves PGP/GPG de cada um dos membros do time, por
-   favor, consulte o servidor de chaves
-   <a href="https://keyring.debian.org/";>keyring.debian.org</a>.
+   0x0D59D2B15144766A14D241C66BAF400B05C3E651</a>). Para chaves PGP/GPG individuais dos membros do time, por favor
+   vá para servidor de chaves 
+   <a href="https://keyring.debian.org/";>keyring.debian.org</a>
+</p>
 
 <toc-add-entry name=discover>Eu acho que encontrei um problema de segurança, o que devo fazer?</toc-add-entry>
 
-<p>R: Se você descobrir um problema de segurança, tanto em um dos seus pacotes
-   ou de outro desenvolvedor, por favor, entre em contato com o Time de
-   Segurança. Se o Time de Segurança do Debian confirmar a vulnerabilidade e
-   outros distribuidores também estiverem vulneráveis, eles geralmente contatam
-   estes outros distribuidores. Se a vulnerabilidade ainda não é pública eles
-   tentam coordenar os alertas de segurança com os dos outros distribuidores
-   para que todas as principais distribuições fiquem sincronizadas.</p>
-
-<p>Se a vulnerabilidade já tiver sido divulgada publicamente, certifique-se
-   de preencher um relatório de bug no Debian BTS e marcá-lo como
-   <q>security</q>.</p>
-
-<p>Se você é um mantenedor Debian, <a href="#care">veja abaixo</a>.</p>
-
-<toc-add-entry name=care>O que eu devo fazer com um problema de segurança
-   em um dos meus pacotes?</toc-add-entry>
-
-<p>R: Se você souber de algum problema de segurança, seja no seu pacote ou
-   no de outra pessoa, por favor, não deixe de entrar em contato com o Time de
-   Segurança. Você pode se comunicar com eles através do e-mail
-   team@security.debian.org. Eles mantêm um relatório do andamento dos
-   problemas de segurança, podem ajudar mantenedores com problemas de segurança
-   ou até mesmo consertar eles mesmos estes problemas, são responsáveis por
-   mandar os alertas de segurança e mantêm o security.debian.org.</p>
-
-<p>O documento <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
-   Developer's Reference (Referência para Desenvolvedores)</a> tem instruções
-   completas do que fazer.</p>
-
-<p>É particularmente importante que você não faça o upload para nenhuma outra
-   distribuição além da instável (<q>unstable</q>) sem antes conversar com o
-   Time de Segurança, pois isso pode causar confusão e mais trabalho.</p>
-
-<toc-add-entry name=enofile>Eu tentei baixar um pacote listado em um dos alertas de segurança, mas recebo um erro do tipo 'arquivo não encontrado'.</toc-add-entry>
-
-<p>R: Quando algum pacote que leva uma correção de bug substitui um pacote
-   antigo em security.debian.org, as chances de que o antigo seja removido
-   assim que o outro entrar são altas.  Portanto, você irá
-   receber o erro 'arquivo não encontrado'. Nós não queremos distribuir
-   pacotes com erros de segurança conhecidos por um período de tempo maior
-   do que o estritamente necessário.</p>
-
-<p>Por favor use os pacotes dos últimos alertas de segurança, que
-   são distribuídos através da lista de discussão <a
-   href="https://lists.debian.org/debian-security-announce/";>\
-   debian-security-announce</a>. É melhor simplesmente executar
-   <code>apt-get update</code> antes de atualizar o pacote.</p>
-
-<toc-add-entry name=upload>Eu tenho uma correção de bug. Posso enviar para
-   security.debian.org diretamente?</toc-add-entry>
-
-<p>R: Não, você não pode. O repositório em security.debian.org é mantido
-   pelo Time de Segurança, que deve aprovar todos os pacotes. Em vez disso,
-   você pode enviar patches ou pacotes-fonte apropriados para o Time de
-   Segurança pelo e-mail team@security.debian.org. Eles serão revisados pelo
-   Time de Segurança e eventualmente enviados ao repositório, com ou sem
-   modificações.</p>
-
-<p>Se você não está acostumado com uploads de segurança e não tem
-   100% de certeza que seu pacote está correto, por favor use esta
-   maneira e não envie para o diretório <q>incoming</q>. O Time de Segurança
-   não tem muitas opções para lidar com pacotes quebrados, especialmente
-   se eles não usam uma versão correta. Os pacotes atualmente não podem
-   ser rejeitados e o <abbr title="Build Daemon - Daemon de construção">\
-   buildd</abbr> poderia ficar confuso se isto fosse
-   possível. Então, por favor use o e-mail e ajude evitando colocar mais
-   peso para o Time de Segurança.</p>
-
-<p>O manual <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
-   Developer's Reference (Referências para Desenvolvedores)</a> tem instruções
-   completas do que fazer.</p>
-
-<toc-add-entry name=ppu>Eu tenho uma correção de bug. Posso enviar para o
-   <q>proposed-updates</q> diretamente?</toc-add-entry>
-
-<p>A: Tecnicamente falando, você pode. No entanto, você não deve fazê-lo,
-   uma vez que isso interfere no trabalho do Time de Segurança.
-   Pacotes do security.debian.org serão copiados para o diretório
-   <q>proposed-updates</q> automaticamente. Se um pacote com o mesmo número
-   de versão ou com um número mais alto já se encontra no arquivo, a atualização
-   de segurança será rejeitada pelo sistema de arquivamento. Dessa forma, a
-   distribuição estável ficará sem uma atualização de segurança para este
-   pacote, a menos que o pacote <q>errado</q> do diretório
-   <q>proposed-updates</q> seja
-   rejeitado. Por favor, em vez disso, contate o Time de Segurança, inclua
-   todos os detalhes da vulnerabilidade e anexe os arquivos fontes (por
-   exemplo, diff.gz e arquivos dsc) em seu e-mail.</p>
-
-<p>O manual <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
-   Developer's Reference (Referências para Desenvolvedores)</a> tem instruções completas do que fazer.</p>
-
-<toc-add-entry name=SecurityUploadQueue>Eu tenho certeza que meus pacotes estão corretos, como posso enviá-los?</toc-add-entry>
-
-<p>R: Se você tem absoluta certeza que seus pacotes não irão quebrar alguma
-   coisa, que a versão está correta (exemplo: maior do que a versão na
-   <q>stable</q> e menor do que a versão na <q>testing/unstable</q>), que
-   você não alterou o
-   comportamento do pacote, apesar do problema de segurança correspondente, que
-   você compilou ele para a distribuição correta (que é a
-   <code>oldstable-security</code> ou <code>stable-security</code>), que contém
-   o código fonte original se o pacote for novo no security.debian.org, que
-   você pode confirmar que o patch da versão mais recente é claro e somente
-   foi modificada a parte relacionada com o problema de segurança
-   correspondente (verifique com <code>interdiff -z</code> e ambos arquivos
-   <code>.diff.gz</code>), que você tenha revisado o patch pelo menos três
-   vezes, e que o <code>debdiff</code> não tenha mostrado nenhuma mudança, você
-   pode enviar diretamente os arquivos para o diretório <q>incoming</q>
-   <code>ftp://ftp.security.upload.debian.org/pub/SecurityUploadQueue</code> em
-   security.debian.org. Por favor, envie também uma notificação com todos
-   os detalhes e links para o e-mail team@security.debian.org.</p>
+<p>R: Se você achou um problema de segurança em um de nossos pacotes
+   ou de alguém mais, por favor sempre contate o time de segurança. Se
+   o time de segurança do Debian confirmar a vulnerabilidade e que outro fornecedor
+   possa ser vulnerábel também, eles geralmnte contatam estes fornecedores.
+   Se a vulnerabilidade ainda não é pública eles irão coordenar juntos
+   avisos de segurança com outros fornecedores, em todas as principais
+   distribuições sincronizadas.</p>
+
+<p>Se a vulnerabilidade já é pública, tenha certeza de registrar o problema em 
+   Debian BTS, e marcá-la como <q>security</q>.</p>
+
+<p>Se você é mantenedor Debian, <a href="#care">veja abaixo</a>.</p>
+
+<toc-add-entry name=care>O que se espera que eu faça com um problema de segurança no 
+meu pacote?</toc-add-entry>
+
+<p>R: Se você conhece o problema de segurança, em seu pacote
+   ou de alguém mais, por favor sempre contate o time de segurança via email
+   em team@security.debian.org. Eles acompanharam os
+   problemas de segurança pendentes, podendo ajudar mantenedores com
+   problemas ou corrigir problemas por conta própria pois são responsáveis por
+   avisos de segurança e manter 
+   security.debian.org.</p>
+
+<p>The <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
+   Referência de Desenvolvedores</a> tem as informações mais completas do que fazer.</p>
+
+<p>Isto é particularmente importante que você não suba nenhuma
+   distribuição a não ser unstable sem o consentimento do time
+   de segurança, passando por cima deles causa confusão e
+   mais trabalho.</p>
+
+<toc-add-entry name=enofile>Eu tentei baixar um pacote da lista de avisos de segurança, mas informou erro 
+'arquivo não encontrado'.</toc-add-entry>
+
+<p>R: Sempre que uma correção de bug mais recente substitui um pacote mais antigo no
+     security.debian.org, são grandes as chances de o pacote antigo ser
+     removido quando o novo for instalado. Portanto, você terá
+     este erro "arquivo não encontrado". Não queremos distribuir pacotes
+     com erros de segurança conhecidos por mais tempo do que o absolutamente necessário. </p>
+
+<p> Use os pacotes dos últimos avisos de segurança, que são
+     distribuído através do <a
+     href = "https://lists.debian.org/debian-security-announce/";> \
+     lista de discussão debian-security-Announce </a>. É melhor simplesmente correr
+     <code> apt-get update </code> antes de atualizar o pacote. </p>
+
+<toc-add-entry name=upload>Eu tenho uma correção de bug, posso fazer o upload para security.debian.org diretamente?</toc-add-entry>
+
+<p> R: Não, você não pode. O arquivo em security.debian.org é mantido
+     pela equipe de segurança, que precisa aprovar todos os pacotes. Você deve
+     em vez disso, envie patches ou pacotes de origem adequados para a equipe de segurança
+     via team@security.debian.org. Eles serão
+     revisados pela equipe de segurança e, eventualmente, enviados, com
+     ou sem modificações. </p>
+
+<p>O <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
+   Referência de Desenvolvedores</a> possui instruções completas sobre o que fazer.</p>
+
+<toc-add-entry name=ppu>Eu tenho uma correção de erro. Posso subir as atualizações propostas?</toc-add-entry>
+
+<p> R: Tecnicamente falando, você pode. No entanto, você não deve fazer isso,
+     pois isso interfere muito no trabalho da equipe de segurança.
+     Os pacotes do security.debian.org serão copiados para o diretório
+     diretório de atualizações propostas automaticamente. Se um pacote com o
+     número de versão igual ou superior já está instalado no
+     archive, a atualização de segurança será rejeitada pelo archive
+     sistema. Dessa forma, a distribuição estável terminará sem um
+     atualização de segurança para este pacote, a menos que <q>wrong</q>
+     pacotes no diretório de atualizações propostas foram rejeitados. Entre em contato com o
+     equipe de segurança e inclua todos os detalhes da vulnerabilidade
+     e anexe os arquivos de origem (ou seja, arquivos diff.gz e dsc) ao seu e-mail. </p>
+
+<p>O <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
+   Referência de Desenvolvedores</a> possui instruções completas sobre o que fazer.</p>
+
+<toc-add-entry name=SecurityUploadQueue>Tenho certeza de que meus pacotes estão bem,
+     como posso carregá-los?</toc-add-entry>
+
+<p> R: Se você tiver certeza de que seus pacotes não quebram nada, que o
+     versão é sã (ou seja, maior que a versão estável e menor que a
+     versão no testing/unstable), que você não alterou o comportamento do
+     pacote, apesar do problema de segurança correspondente, que você o compilou
+     para a distribuição correta (ou seja, <code> oldstable-security </code> ou
+     <code> stable-security </code>), que o pacote contém o original
+     fonte se o pacote for novo no security.debian.org, que você pode confirmar
+     o patch contra a versão mais recente é limpo e apenas toca o
+     problema de segurança correspondente (verifique com <code> interdiff -z </code> e
+     arquivos <code> .diff.gz </code>), que você revisou o patch em
+     menos três vezes e que <code> debdiff </code> não exiba nenhuma alteração,
+     você pode carregar os arquivos no diretório de entrada
+     <code> ftp://ftp.security.upload.debian.org/pub/SecurityUploadQueue </code> no
+     security.debian.org diretamente. Envie uma notificação com todos os detalhes
+     e links para team@security.debian.org também. </p>
 
 <toc-add-entry name=help>Como posso ajudar com a segurança?</toc-add-entry>
-<p>R: Por favor, reveja cada problema antes de informá-lo ao
-   security@debian.org. Se você for capaz de fornecer patches,
-   isto aumentaria a velocidade do processo. Não encaminhe
-   e-mails do bugtraq, simplesmente, porque nós já os recebemos
-   &mdash; mas nos forneça informações adicionais sobre
-   o que foi relatado no bugtraq.</p>
-
-   <p>Uma boa forma de começar com o trabalho de segurança é ajudando
-      com o Rastreador de Segurança Debian (<a
-      href="https://security-tracker.debian.org/tracker/data/report";>instruções</a>).</p>
-
-<toc-add-entry name=proposed-updates>Qual é o escopo do <q>proposed-updates</q>?</toc-add-entry>
-<p>R: Este diretório contém pacotes que são sugeridos para entrar
-   na próxima versão estável do Debian. Sempre que pacotes são enviados
-   por um mantenedor para a distribuição estável, eles acabam no
-   diretório <q>proposed-updates</q>. Já que a estável é feita para ser estável,
-   atualizações automáticas não são realizadas. O Time de Segurança irá
-   enviar pacotes corrigidos mencionados em alertas para a estável,
-   no entanto, eles serão colocados no <q>proposed-updates</q> antes. A cada
-   dois meses, o Gerente da Distribuição Estável confere a lista de pacotes
-   do <q>proposed-updates</q> e discute se um pacote serve ou não para a
-   estável.
-   Então, os escolhidos são compilados em uma nova versão da estável
-   (e.x. 2.2r3 ou 2.2r4). Pacotes que não se encaixam na versão estável
-   provavelmente serão rejeitados e também descartados do
-   <q>proposed-updates</q>.
-</p>
-
-   <p>Note que pacotes com uploads feitos pelos mantenedores (não pelo time
-   de segurança) no diretório proposed-updates/ não são suportados pelo time
-   de segurança.</p>
-
-<toc-add-entry name=composing>Como o Time de Segurança é composto?</toc-add-entry>
-<p>R: O Time de Segurança do Debian consiste em
-   <a href="../intro/organization">alguns oficiais e secretários</a>.
-   O próprio Time de Segurança designa pessoas para se juntar ao grupo.</p>
-
-<toc-add-entry name=lifespan>Por quanto tempo as atualizações de segurança são fornecidas?</toc-add-entry>
-<p>R: O time de segurança tenta dar suporte à distribuição estável por mais
-   ou menos um ano depois que uma próxima distribuição estável é lançada, exceto
-   quando uma outra distribuição estável é lançada neste período. É impossível
-   dar suporte a três distribuições; dar suporte a duas simultaneamente já é
-   difícil o bastante.
-</p>
+<p> R: Revise cada problema antes de relatá-lo à
+     security@debian.org. Se você puder fornecer patches, esse
+     aceleraria o processo. Não encaminhe simplesmente correios de bugtraq,
+     porque já os recebemos &mdash; mas nos forneça
+     informações adicionais sobre coisas relatadas no bugtraq. </p>
+
+<p> Uma boa maneira de começar o trabalho de segurança é ajudando
+     no Debian Security Tracker (<a
+     href = "https://security-tracker.debian.org/tracker/data/report";> instruções </a>). </p>
+
+<toc-add-entry name=proposed-updates>Qual é o escopo das atualizações propostas?</toc-add-entry>
+<p> R: Este diretório contém pacotes que são propostos para inserir o
+     próxima revisão do Debian estável. Sempre que os pacotes são enviados por
+     mantenedor da distribuição estável, eles acabam no
+     diretório de atualizações propostas. Uma vez que estável deve ser estável, não há
+     atualizações automáticas a serem feitas. A equipe de segurança fará a subida fixa dos
+     pacotes mencionados em seus avisos para stable, porém eles colocarão 
+     atualizações propostas primeiro. A cada dois meses, o
+     O Stable Release Manager verifica a lista de pacotes em
+     atualizações propostas e discute se um pacote é adequado para
+     stable ou não. Isso é compilado em outra revisão do stable
+     (por exemplo, 2.2r3 ou 2.2r4). Pacotes que não se encaixam provavelmente serão
+     rejeitado e retirado das atualizações propostas também.
+  </p>
+
+<p> Observe que os pacotes enviados pelos mantenedores (não pela equipe de segurança)
+     no diretório proposed-updates/ não são suportados pelo sistema de segurança
+     equipe. </p>
+
+<toc-add-entry name=composing> Como é composta a equipe de segurança? </toc-add-entry>
+  <p> R: A equipe de segurança Debian consiste em
+     <a href="../intro/organization#security"> vários oficiais e secretários </a>.
+     A própria equipe de segurança nomeia pessoas para ingressar na equipe. </p>
+
+<toc-add-entry name=lifespan> Por quanto tempo as atualizações de segurança serão fornecidas? </toc-add-entry>
+  <p> R: A equipe de segurança tenta oferecer suporte a uma distribuição stable para
+     cerca de um ano após a próxima distribuição stable
+     liberada, exceto quando outra distribuição stable é liberada
+     dentro deste ano. Não é possível suportar três
+     distribuições; apoiar dois simultaneamente já é difícil
+     o suficiente.
+  </p>
+
+<toc-add-entry name=check> Como posso verificar a integridade dos pacotes? </toc-add-entry>
+  <p> R: Esse processo envolve a verificação da assinatura do arquivo Release contra
+     o <a href="https://ftp-master.debian.org/keys.html";>\
+     chave pública </a> usada para o arquivo. O arquivo Release contém o
+     somas de verificação de arquivos de pacotes e fontes, que contêm
+     somas de verificação de pacotes binários e de origem. Instruções detalhadas sobre como
+     para verificar a integridade dos pacotes pode ser encontrado no <a
+     href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\
+     Manual de Segurança Debian </a>. </p>
+
+<toc-add-entry name=break> O que fazer se um pacote aleatório for interrompido após uma atualização de segurança? </toc-add-entry>
+  <p> R: Antes de tudo, você deve descobrir por que o pacote quebra e
+     como está conectado à atualização de segurança, entre em contato com o
+     equipe de segurança, se for grave, ou o gerente de versão estável, se
+     é menos grave. Estamos falando de pacotes aleatórios que quebram
+     após uma atualização de segurança de um pacote diferente. Se você não puder
+     descobrir o que está errado, mas tem uma correção, converse com o
+     equipe de segurança também. Você pode ser redirecionado para a gerenciamento da 
+     versão stable. </p>
+
+<toc-add-entry name=cvewhat> O que é um identificador CVE? </toc-add-entry>
+  <p> R: O projeto Vulnerabilidades e exposições comuns atribui
+     nomes exclusivos, chamados identificadores CVE, para segurança específica
+     vulnerabilidades, para facilitar a referência exclusiva a um determinado
+     questão. Mais informações podem ser encontradas em <a
+     href="http://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures";>\
+     Wikipedia </a>. </p>
+
+<toc-add-entry name=cvedsa> O Debian emite um DSA para cada ID de CVE? </toc-add-entry>
+  <p> R: A equipe de segurança da Debian rastreia todos os identificadores CVE emitidos,
+     conecte-o ao pacote Debian relevante e avalie seu impacto em um
+     Contexto Debian - o fato de algo ser atribuído a um ID do CVE não
+     implica necessariamente que o problema seja uma séria ameaça ao sistema Debian.
+     Esta informação é rastreada no
+     <a href="https://security-tracker.debian.org";> Rastreador de Segurança Debian </a>
+     e para os problemas considerados sérios, um Aviso de Segurança Debian
+     será emitido. </p>
+
+<p> Problemas de baixo impacto não qualificados para um DSA podem ser corrigidos na próxima
+     lançamento do Debian, em um lançamento pontual do atual stable ou oldstable
+     distribuições ou estão incluídas em um DSA quando este está sendo emitido para um
+     vulnerabilidade mais séria. </p>
+
+<toc-add-entry name=cveget> O Debian pode atribuir identificadores CVE? </toc-add-entry>
+  <p> R: O Debian é uma autoridade de numeração do CVE e pode atribuir IDs, mas por
+     Política do CVE apenas para questões ainda não divulgadas. Se você tem um segredo
+     vulnerabilidade de segurança para software no Debian e gostaria de obter uma
+     identificador, entre em contato com a equipe de segurança da Debian. Nos casos em que o
+     vulnerabilidade já é pública, aconselhamos a seguir o procedimento
+     detalhado em <a
+    href="https://github.com/RedHatProductSecurity/CVE-HOWTO";>\
+     HOWTO de solicitação de código aberto do CVE </a>. </p>
+
+<toc-add-entry name=disclosure-policy> O Debian tem uma política de divulgação de vulnerabilidades? </toc-add-entry>
+  <p> R: O Debian publicou uma vulnerabilidade <a href="disclosure-policy">
+     política de divulgação </a> como parte de sua participação no CVE
+     programa.
+
+<h1> Perguntas frequentes sobre segurança Debian obsoleta </h1>
+<toc-add-entry name=localremote> O que <q> local (remoto) </q> significa? </toc-add-entry>
+  <p> <b> O campo <i> Tipo de problema </i> nos e-mails do DSA não é usado desde abril de 2014. </b> <br/>
+     R: Alguns avisos cobrem vulnerabilidades que não podem ser identificadas
+     com o esquema clássico de exploração local e remota. Alguns
+     vulnerabilidades não podem ser exploradas remotamente, ou seja, não
+     corresponde a um daemon ouvindo uma porta de rede. Se eles podem ser
+     explorado por arquivos especiais que poderiam ser fornecidos via rede
+     enquanto o serviço vulnerável não estiver permanentemente conectado ao
+     rede, escrevemos <q> local (remoto) </q> nesses casos. </p>
+     
+  <p> Tais vulnerabilidades estão entre locais e remotas
+     vulnerabilidades e geralmente cobrem arquivos que poderiam ser fornecidos
+     através da rede, por exemplo como anexo de email ou de um download
+     página. </p>
 
-<toc-add-entry name=check>Como verifico a integridade de um pacote?</toc-add-entry>
-<p>R: É preciso verificar a assinatura do arquivo Release com a
-   <a href="https://ftp-master.debian.org/keys.html";>\
-   chave pública</a> usada para armazenamento. O arquivo Release
-   contém os checksums os arquivos Packages e Sources, que contêm os
-   checksums dos pacotes binários e fontes. Mais informações de como
-   verificar a integridade dos pacotes podem ser encontradas no <a
-   href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\
-   Manual de Segurança do Debian</a>.</p>
-
-<toc-add-entry name=break>O que fazer quando um pacote aleatório quebra após
-   uma atualização de segurança?</toc-add-entry>
-<p>R: Antes de mais nada, você deve descobrir por que o pacote quebrou e como
-   isto está conectado à atualização de segurança, então contate o time de
-   segurança se isto for sério ou o gerente da distribuição estável se for menos
-   sério. Nós estamos falando de pacotes aleatórios que quebram após uma
-   atualização de segurança de um pacote diferente. Se você não pode descobrir
-   o que deu errado mas tem uma correção, fale com o time de segurança também.
-   É possível que você seja redirecionado ao gerente da distribuição estável.</p>

Reply to:

Follow-Ups:
- [DONE] wml://www.debian.org/security/faq.wml
  - From: Paulo Henrique de Lima Santana <phls@debian.org>

References:
- [ITT] wml://www.debian.org/security/faq.wml
  - From: Wagner Marcuci <wmarcuci@hotmail.com>

Prev by Date: [DONE] wml://www.debian.org/News/awards/index.wml
Next by Date: [ITT] wml://www.debian.org/releases/etch/index.wml
Previous by thread: [ITT] wml://www.debian.org/security/faq.wml
Next by thread: [DONE] wml://www.debian.org/security/faq.wml
Index(es):
- Date
- Thread