Re: [ITR] wml://www.debian.org/security/faq.wml
Oi Thiago,
Segue em anexo o meu patch com sugestões.
Abraços,
Em 17/06/2020 10:30, Paulo Henrique de Lima Santana escreveu:
> Olá,
>
> Irei revisar.
>
> Abs
>
> Em 13/06/2020 20:55, Thiago Pezzo escreveu:
>> Segue o arquivo para revisão.
>> Como é grande, sugiro reservar com ITR.
>>
>>
>> Abraços,
>> Thiago Pezzo (Tico)
>>
>> Sent with ProtonMail Secure Email.
>>
>> ‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐
>> On Tuesday, June 9, 2020 11:41 PM, Thiago Pezzo <pezzo@protonmail.com> wrote:
>>
>>> Vou atualizar este arquivo.
>>>
>>> Abraços,
>>> Thiago Pezzo (Tico)
>>>
>>> Sent with ProtonMail Secure Email.
>>
>
--
Paulo Henrique de Lima Santana (phls)
Curitiba - Brasil
Debian Developer
Diretor do Instituto para Conservação de Tecnologias Livres
Site: http://www.phls.com.br
GNU/Linux user: 228719 GPG ID: 0443C450
diff --git a/portuguese/security/faq.wml b/portuguese/security/faq.wml
index 83a42bde0bb..e434002cf95 100644
--- a/portuguese/security/faq.wml
+++ b/portuguese/security/faq.wml
@@ -1,163 +1,157 @@
-#use wml::debian::template title="FAQ de Segurança Debian"
-#use wml::debian::translation-check translation="eb8bddb240089bdcf690ddd74297f6358992eb1e"
+#use wml::debian::template title="FAQ de segurança Debian"
+#use wml::debian::translation-check translation="6e1fa2e1aabb151dc8ce2445ee60cc40675fb927" maintainer="Thiago Pezzo (Tico)"
#include "$(ENGLISHDIR)/security/faq.inc"
-<p>Nós recebemos as seguintes perguntas frequentemente, então suas respostas
-estão resumidas aqui.</p>
-
<maketoc>
-<toc-add-entry name=signature>Não consegui verificar corretamente a assinatura em seus alertas!</toc-add-entry>
+<toc-add-entry name=buthow>Eu recebi um DSA pela lista debian-security-announce, como eu posso atualizar o pacote vulnerável?</toc-add-entry>
+
+<p>R: Como está no DSA do e-mail, você deve atualizar os pacotes afetados por
+ tal vulnerabilidade. Para fazê-lo, basta realizar as atualizações
+ <i>update</i> e depois <i>upgrade</i>. Isto é, atualize (update) a lista de
+ pacotes disponíveis com <tt>apt-get update</tt> e depois atualize (upgrade)
+ cada pacote do seu sistema com <tt>apt-get upgrade</tt>, ou atualize somente
+ um determinado pacote com <tt>apt-get install <i>package</i></tt>.</p>
+
+<p>O e-mail de alerta menciona o pacote-fonte no qual a vulnerabilidade está
+ presente. Desse modo, você deve atualizar todos os pacotes binários daquele
+ pacote-fonte. Para verificar qual pacote binário deve ser atualizado, visite
+ <tt>https://packages.debian.org/src:<i>nome-do-pacote-fonte</i></tt> e
+ clique em <i>[mostrar ... pacotes binários]</i> para a distribuição na qual
+ você está atualizando.</p>
+
+<p>Também pode ser necessário reiniciar um serviço ou um processo que esteja
+ rodando. O comando <a href="https://manpages.debian.org/checkrestart"><tt>checkrestart</tt></a>
+ incluído no pacote
+ <a href="https://packages.debian.org/debian-goodies">debian-goodies</a>
+ pode ajudar a encontrar tais serviços e processos.</p>
+
+<toc-add-entry name=signature>A assinatura em seus alertas não foi verificada corretamente!</toc-add-entry>
<p>R: Provavelmente você está fazendo algo errado. A lista
<a href="https://lists.debian.org/debian-security-announce/">\
debian-security-announce</a> possui um filtro que só permite que mensagens
- com a assinatura correta de um dos membros do time de segurança sejam
- postadas.</p>
+ sejam postadas se estiverem com a assinatura correta de um dos membros do
+ Time de Segurança.</p>
<p>Provavelmente, seu software de e-mail está alterando sutilmente
a mensagem, o que invalida a assinatura. Certifique-se de que seu
- programa não faça codificação ou decodificação MIME, assim como
+ programa não faça codificação ou decodificação MIME, e não faça
conversões de tabulação/espaços.</p>
<p>Alguns softwares que fazem isso são o fetchmail (com a opção mimedecode
habilitada), o formail (do procmail versão 3.14) e o evolution.</p>
-<toc-add-entry name=handling>Como o Debian lida com a segurança?</toc-add-entry>
+<toc-add-entry name="handling">Como o Debian lida com a segurança?</toc-add-entry>
<p>R: Assim que o Time de Segurança recebe uma notificação sobre um
incidente, um ou mais membros revisam e avaliam seu impacto sobre
- a versão estável do Debian (ou seja, se ela é vulnerável ou não). Se nosso
- sistema é vulnerável, nós trabalhamos em uma correção para o problema.
- O mantenedor do pacote é contatado também, se ele já não contatou
- o Time de Segurança. Finalmente, a correção é testada e novos pacotes
+ a versão estável (stable) do Debian (ou seja, se ela é vulnerável ou não). Se
+ nosso sistema é vulnerável, nós trabalhamos em uma correção para o problema.
+ O(A) mantenedor(a) do pacote é contatado(a) também, se ele(a) já não contatou
+ o Time de Segurança antes. Finalmente, a correção é testada e novos pacotes
são preparados, compilados em todas as arquiteturas da versão estável e
- é feito o envio dos mesmos. Depois de tudo isso, um alerta é publicado.
-</p>
+ feito o upload. Depois de tudo isso, um alerta é publicado.</p>
-<toc-add-entry name=oldversion>Por que vocês insistem em uma versão antiga
-de determinado pacote?</toc-add-entry>
+<toc-add-entry name=oldversion>Por que vocês insistem em uma versão antiga de determinado pacote?</toc-add-entry>
<p>R: A regra mais importante quando está se fazendo um novo pacote que corrige
- problemas de segurança é fazer o menor número possível de alterações. Nossos
- usuários e desenvolvedores estão confiando no comportamento correto de uma
- versão, uma vez que ela é lançada, então qualquer mudança que fazemos tem o
- potencial de quebrar o sistema de alguém. Isso é verdade especialmente no
- caso de bibliotecas: certifique-se de nunca modificar a Application Program
- Interface (API) ou Application Binary Interface (ABI), não importa quão
- pequena seja essa alteração.</p>
-
-<p>Isso significa que mudar para a nova versão do autor não é uma boa
- solução, em vez disso, as alterações relevantes devem ser adaptadas à versão
- antiga. Geralmente os autores dessas novas versões se dispõem a ajudar se for
- preciso, se não, o Time de Segurança do Debian pode estar disponível para
- ajudar.</p>
+ problemas de segurança é fazer o menor número possível de alterações.
+ Nossos(as) usuários(as) e desenvolvedores(as) confiam no comportamento
+ correto de uma versão uma vez que ela é lançada, então qualquer mudança que
+ fazemos tem o potencial de quebrar o sistema de alguém. Isso é verdade
+ especialmente no caso de bibliotecas: certifique-se de nunca modificar a
+ Interface de Programação de Aplicação (API - Application Programming
+ Interface) ou a Interface Binária de Aplicação (ABI - Application Binary
+ Interface), não importa quão pequena seja essa alteração.</p>
+
+<p>Isso significa que mudar para a nova versão do(a) autor(a) do software (upstream)
+ não é uma boa solução, em vez disso as alterações relevantes devem ser adaptadas
+ à versão antiga. Geralmente os(as) autores(as) do software dessas novas versões
+ se dispõem a ajudar se for preciso; caso contrário, o Time de Segurança do
+ Debian está disponível para ajudar.</p>
<p>Em alguns casos não é possível adaptar a versão antiga a uma correção de
- segurança, por exemplo quando uma grande quantidade de código fonte precisa
- ser modificada ou rescrita. Se isto acontecer pode ser necessário mudar
- para a nova versão do autor, mas isso deve ser coordenado antecipadamente
- com o Time de Segurança.</p>
-
-<toc-add-entry name=policy>Qual é a política usada para que pacotes corrigidos
- apareçam no security.debian.org?</toc-add-entry>
-
-<p>R: Erros de segurança na distribuição estável garantem a aparição
- de um pacote no security.debian.org. Nada mais. O tamanho
- do erro não é o problema real aqui. Normalmente, o Time de Segurança
- irá preparar pacotes juntamente com o mantenedor do pacote. Desde que
- alguém (confiável) investigue o problema e construa os pacotes necessários
- e os envie ao Time de Segurança, mesmo problemas de segurança triviais
- irão entrar no security.debian.org. Por favor, veja abaixo.</p>
-
-<p>Atualizações de segurança têm um único propósito: fornecer uma correção para
- uma vulnerabilidade relacionada à segurança. Elas não são um método para
- enviar mudanças adicionais à versão estável sem realizar o procedimento de
- lançamento normal.</p>
-
-<toc-add-entry name=localremote>O que significa <q>local (remote)</q>?</toc-add-entry>
-<p>R: Alguns alertas tratam de vulnerabilidades que não podem ser identificadas
- usando o esquema clássico de explorações locais ou remotas. Algumas
- vulnerabilidades não podem ser exploradas remotamente, ou seja, não
- correspondem a um <em>daemon</em> associado a uma porta de rede.
- Nos casos em que é possível explorá-las através de arquivos especiais
- que possam estar disponíveis via rede enquanto o serviço
- vulnerável não se encontra conectado permanentemente com a rede,
- nós utilizamos <q>local (remote)</q>.
-
-<p>Essas vulnerabilidades estão entre as vulnerabilidades locais e
- as remotas, e muitas vezes dizem respeito a arquivos que poderiam ser
- disponibilizados através da rede, como um anexo de correio eletrônico
- ou por uma página de download.</p>
+ segurança, por exemplo quando uma grande quantidade de código-fonte precisa
+ ser modificada ou reescrita. Se isto acontecer pode ser necessário mudar
+ para a nova versão do(a) autor(a) do software, mas isso deve ser coordenado
+ antecipadamente com o Time de Segurança.</p>
<toc-add-entry name=version>O número de versão de um pacote indica que eu ainda
estou executando uma versão vulnerável!</toc-add-entry>
-<p>R: Ao invés de atualizar para uma versão nova nós adaptamos correções
- de segurança das versões mais novas para a versão lançada com a distribuição
- estável. A razão para que façamos isto é certificar-nos de que uma
- distribuição mude o mínimo possível, de forma que nada quebre ou mude
- inesperadamente, como consequência de uma correção de segurança. Você pode
+<p>R: Em vez de atualizar para uma versão nova, nós adaptamos correções
+ de segurança das versões mais novas para a versão lançada com a versão
+ estável (stable). A razão para que façamos isto é certificar-nos de que uma
+ versão mude o mínimo possível, de forma que nada quebre ou mude
+ inesperadamente como consequência de uma correção de segurança. Você pode
checar se está executando uma versão segura de um pacote verificando o seu
registro de mudanças, ou comparando o número exato da versão com a versão
- indicada no Alerta de Segurança Debian.</p>
-
-<toc-add-entry name=unstable>Como a segurança é feita na <tt>unstable</tt>?</toc-add-entry>
-<p>R: A resposta curta é: não é feita. A <q>unstable</q> é uma alvo móvel
- rápido e o time de segurança não tem os recursos necessários para suportá-la
- apropriadamente. Se você quer ter um servidor seguro (e estável) você
- é fortemente encorajado a fica com a <q>stable</q>.</p>
-
-<toc-add-entry name=testing>Como a segurança é feita na <tt>testing</tt>?</toc-add-entry>
-<p>R: Se você quer ter um servidor seguro (e estável) você é fortemente
- encorajado a ficar com a <q>stable</q>. No entanto, há suporte
- de segurança para a <q>testing</q>: O time de segurança da
- <q>testing</q> do Debian lida com problemas para a
- <q>testing</q>. Eles vão assegurar que os pacotes corrigidos entrem
- na <q>testing</q> na forma usual através da migração a partir da
- <q>unstable</q> (com tempo de quarentena reduzido), ou, se isto levar
- muito tempo, torná-los disponível através da infra-estrutura normal em <a
- href="http://security.debian.org">http://security.debian.org</a>.
- Para usá-la, tenha certeza de ter a seguinte linha em seu
- <code>/etc/apt/sources.list</code>:</p>
- <p><code>deb http://security.debian.org testing/updates main</code></p>
- <p>e execute <code>apt-get update && apt-get upgrade</code>
- como de costume.</p>
- <p>Note que isso não garante que todos os bugs de segurança conhecidos são
- corrigidos na <q>testing</q>! Alguns pacotes atualizados podem estar
- aguardando a transição para a <q>testing</q>. Mais informação sobre a
- infraestrutura de segurança para a <q>testing</q> pode ser encontrada em <a
- href="http://secure-testing-master.debian.net/">\
- http://secure-testing-master.debian.net/</a>.</p>
-
-<toc-add-entry name=contrib>Como a segurança é feita para o <tt><q>contrib</q></tt> e <tt><q>non-free</q></tt>?</toc-add-entry>
-
-<p>A: A resposta curta é: não é feita. A <q>contrib</q> e <q>non-free</q> não
- fazem parte oficialmente da Distribuição Debian e não são lançadas, por
+ indicada no alerta de segurança Debian.</p>
+
+<toc-add-entry name=archismissing>Eu recebi um alerta, mas parece que está faltando
+a construção do pacote para uma arquitetura de processamento .</toc-add-entry>
+<p> R: Geralmente, o Time de Segurança lança alertas com construções
+ dos pacotes atualizados para todas as arquiteturas que o Debian suporta.
+ Entretanto, algumas arquiteturas são mais lentas que outras e isso pode
+ levar a que construções estejam prontas para grande parte das arquiteturas,
+ enquanto outras ainda estejam faltando. Estas pequenas arquiteturas
+ representam uma pequena fração da nossa base de usuários(as). Dependendo da
+ urgência do problema, podemos decidir por lançar um alerta imediatamente.
+ As arquiteturas ausentes serão instaladas tão logo estejam prontas,
+ mas nenhuma notícia será divulgada além disso. Claro que nós nunca
+ faremos uso de alertas quando construções para i386 ou amd64 não estejam
+ presentes.
+
+<toc-add-entry name=unstable>Como a segurança é feita na <tt>instável</tt> (<tt>unstable</tt>)?</toc-add-entry>
+<p>R: A segurança na instável (unstable) é principalmente gerenciada por
+mantenedores(as) de pacote, não pelo Time de Segurança do Debian. Embora o Time
+de Segurança possa fazer o upload de correções muito urgentes e exclusivamente
+relacionadas à segurança quando sabe que os(as) mantenedores(as) estão
+inativos(as), o suporte à estável (stable) será sempre a prioridade. Se você
+deseja um servidor seguro (e estável), nós fortemente encorajamos que
+fique com a estável (stable).</p>
+
+<toc-add-entry name=testing>Como a segurança é feita na <tt>teste</tt> (<tt>testing</tt>)?</toc-add-entry>
+<p>R: A segurança para a teste (testing) se beneficia dos esforços de segurança
+de todo o projeto para a instável (unstable). Contudo, há um atraso de migração
+de no mínimo dois dias, e às vezes as correções de segurança podem ser adiadas
+pelas transições. O Time de Segurança ajuda a lidar com essas transições que
+seguram importantes uploads de segurança, mas isto não é sempre possível e
+atrasos podem ocorrer. Especialmente nos meses que sucedem uma nova versão
+estável (stable), quando muitas versões novas são enviadas para a instável (unstable)
+e correções de segurança para a teste (testing) podem atrasar. Se você
+deseja um servidor seguro (e estável), nós fortemente encorajamos que
+fique com a estável (stable)</p>
+
+<toc-add-entry name=contrib>Como a segurança é feita para <tt><q>contrib</q></tt> e <tt><q>non-free</q></tt>?</toc-add-entry>
+
+<p>R: A resposta curta é: não é feita. A <q>contrib</q> e <q>non-free</q> não
+ fazem parte oficialmente da distribuição Debian e não são lançadas, por
isso não são suportadas pelo Time de Segurança. Alguns pacotes <q>non-free</q>
- são distribuídos sem o código fonte ou com uma licença que não permite a
+ são distribuídos sem o código-fonte ou com uma licença que não permite a
distribuição de versões modificadas. Nesses casos, nenhuma correção de
- segurança pode ser feita. Se for possível corrigir o problema, e o
- mantenedor do pacote ou alguma outra pessoa fornecer pacotes corrigidos,
+ segurança pode ser feita. Se for possível corrigir o problema, e o(a)
+ mantenedor(a) do pacote ou outra pessoa fornecer pacotes corrigidos,
o Time de Segurança geralmente irá processá-los e publicar um alerta.</p>
-<toc-add-entry name=sidversionisold>O alerta diz que a instável (<q>unstable</q>) foi corrigida na versão 1.2.3-1, mas a instável (<q>unstable</q>) contém a
-1.2.5-1, o que aconteceu?</toc-add-entry>
-
-<p>A: Nós tentamos listas a primeira versão na instável (<q>unstable</q>) que
- corrigiu o problemas. Algumas vezes o mantenedor enviou versões mais novas
- neste meio tempo. Compare a versão na instável (<q>unstable</q>) com a
- versão que nós indicamos. Se for a mesma ou maior, você deverá estar seguro
- com relação a esta vulnerabilidade.</p>
-
-
-<toc-add-entry name=mirror>Por que não há espelhos oficiais de security.debian.org?</toc-add-entry>
-
-
-<p>R: Na verdade, há. Há vários espelhos oficiais, implementados através de
-apelidos DNS (<q>DNS aliases</q>). O propósito de security.debian.org é tornar
-atualizações de segurança disponíveis da maneira mais rápida e fácil possível.
-</p>
-
- <p>Encorajar o uso de espelhos não-oficiais poderá causar uma complexidade
- extra desnecessária e a frustração de encontrar um desses espelhos
+<toc-add-entry name=sidversionisold>O alerta diz que a instável (unstable)
+foi corrigida na versão 1.2.3-1, mas a instável (unstable) contém a
+versão 1.2.5-1, o que aconteceu?</toc-add-entry>
+<p>R: Nós tentamos listar a primeira versão na instável (unstable) que
+ corrigiu o problema. Algumas vezes o(a) mantenedor(a) enviou versões mais
+ novas neste meio tempo. Compare a versão na instável (unstable) com a
+ versão que nós indicamos. Se for a mesma ou maior, você estará seguro(a)
+ com relação a esta vulnerabilidade. Se quiser ter certeza, você pode
+ verificar o registro de mudanças do pacote com <tt>apt-get changelog
+ package-name</tt> e procurar pela entrada que mostra a correção.</p>
+
+
+<toc-add-entry name=mirror>Por que não há espelhos oficiais do security.debian.org?</toc-add-entry>
+<p>R: Na verdade, eles existem. Há vários espelhos oficiais, implementados
+através de aliases DNS. O propósito do security.debian.org
+é tornar as atualizações de segurança disponíveis da maneira mais rápida e fácil
+possível.</p>
+
+<p>Encorajar o uso de espelhos não oficiais causaria tanto uma complexidade
+ extra desnecessária, quanto frustração ao encontrar um desses espelhos
desatualizados.</p>
<toc-add-entry name=missing>Vi o DSA 100 e o DSA 102, agora, onde está o DSA 101?</toc-add-entry>
@@ -166,12 +160,12 @@ atualizações de segurança disponíveis da maneira mais rápida e fácil poss
incidentes e concordam com uma determinada linha de tempo para
que todos os distribuidores possam lançar um aviso ao mesmo tempo.
Isso foi decidido para que não haja discriminação com alguns distribuidores
- que precisam de mais tempo (por exemplo, quando o distribuidor tem de
- passar os pacotes por longos testes de controle de qualidade
+ que precisam de mais tempo (por exemplo, quando o distribuidor tem que
+ passar os pacotes por longos testes de controle de qualidade,
ou suporta diversas arquiteturas ou distribuições binárias).
- Nosso Time de Segurança também prepara avisos com antecedência.
+ Nosso próprio Time de Segurança também prepara alertas com antecedência.
Dependendo da situação, outros problemas de segurança têm de ser
- trabalhados antes do aviso "estacionado" ser lançado, e isso
+ trabalhados antes do aviso que está "parado" ser lançado, e isso
causa a lacuna na numeração dos avisos.
</p>
@@ -182,188 +176,241 @@ atualizações de segurança disponíveis da maneira mais rápida e fácil poss
Segurança.
</p>
-<p>Caso deseje, a mensagem pode ser criptografada com a chave do
+<p>Caso deseje, o e-mail pode ser criptografado com a chave do
Contato de Segurança Debian (o ID da chave é <a
href="http://pgp.surfnet.nl/pks/lookup?op=vindex&search=0x0D59D2B15144766A14D241C66BAF400B05C3E651">\
- 0x0D59D2B15144766A14D241C66BAF400B05C3E651</a>). Para as chaves PGP/GPG de cada um dos membros do time, por
- favor, consulte o servidor de chaves
+ 0x0D59D2B15144766A14D241C66BAF400B05C3E651</a>). Para as chaves PGP/GPG de
+ cada um(a) dos membros do time, por favor, consulte o servidor de chaves
<a href="https://keyring.debian.org/">keyring.debian.org</a>.
-<toc-add-entry name=discover>Eu acho que encontrei um problema de segurança, o que devo fazer?</toc-add-entry>
+<toc-add-entry name=discover>Acho que encontrei um problema de segurança, o que devo fazer?</toc-add-entry>
<p>R: Se você descobrir um problema de segurança, tanto em um dos seus pacotes
- ou de outro desenvolvedor, por favor, entre em contato com o Time de
+ ou de outra pessoa, por favor, sempre entre em contato com o Time de
Segurança. Se o Time de Segurança do Debian confirmar a vulnerabilidade e
- outros distribuidores também estiverem vulneráveis, eles geralmente contatam
- estes outros distribuidores. Se a vulnerabilidade ainda não é pública eles
- tentam coordenar os alertas de segurança com os dos outros distribuidores
- para que todas as principais distribuições fiquem sincronizadas.</p>
+ outros distribuidores também estiverem vulneráveis, eles(as) geralmente
+ contatam estes outros distribuidores. Se a vulnerabilidade ainda não é
+ pública, eles(as) tentam coordenar os alertas de segurança com os alertas dos
+ outros distribuidores para que todas as principais distribuições fiquem
+ sincronizadas.</p>
<p>Se a vulnerabilidade já tiver sido divulgada publicamente, certifique-se
de preencher um relatório de bug no Debian BTS e marcá-lo como
<q>security</q>.</p>
-<p>Se você é um mantenedor Debian, <a href="#care">veja abaixo</a>.</p>
+<p>Se você é um(a) mantenedor(a) Debian, <a href="#care">veja abaixo</a>.</p>
<toc-add-entry name=care>O que eu devo fazer com um problema de segurança
em um dos meus pacotes?</toc-add-entry>
<p>R: Se você souber de algum problema de segurança, seja no seu pacote ou
- no de outra pessoa, por favor, não deixe de entrar em contato com o Time de
- Segurança. Você pode se comunicar com eles através do e-mail
- team@security.debian.org. Eles mantêm um relatório do andamento dos
- problemas de segurança, podem ajudar mantenedores com problemas de segurança
- ou até mesmo consertar eles mesmos estes problemas, são responsáveis por
- mandar os alertas de segurança e mantêm o security.debian.org.</p>
+ no de outra pessoa, por favor, sempre entre em contato com o Time de
+ Segurança através do e-mail team@security.debian.org. Eles(as) mantêm um
+ registro do andamento dos problemas de segurança, podem ajudar
+ mantenedores(as) com problemas de segurança ou até mesmo consertar eles(as)
+ mesmos(as) estes problemas, são responsáveis por mandar os alertas de
+ segurança e mantêm o security.debian.org.</p>
<p>O documento <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
- Developer's Reference (Referência para Desenvolvedores)</a> tem instruções
- completas do que fazer.</p>
+ referência para desenvolvedores(as)</a> tem instruções completas do que
+ fazer.</p>
<p>É particularmente importante que você não faça o upload para nenhuma outra
- distribuição além da instável (<q>unstable</q>) sem antes conversar com o
- Time de Segurança, pois isso pode causar confusão e mais trabalho.</p>
+ versão além da instável (unstable) sem antes entrar em acordo com o
+ Time de Segurança, pois ignorar o Time de Segurança pode causar confusão e
+ mais trabalho.</p>
-<toc-add-entry name=enofile>Eu tentei baixar um pacote listado em um dos alertas de segurança, mas recebo um erro do tipo 'arquivo não encontrado'.</toc-add-entry>
+<toc-add-entry name=enofile>Eu tentei baixar um pacote listado em um dos alertas
+de segurança, mas recebo um erro 'arquivo não encontrado'.</toc-add-entry>
<p>R: Quando algum pacote que leva uma correção de bug substitui um pacote
- antigo em security.debian.org, as chances de que o antigo seja removido
- assim que o outro entrar são altas. Portanto, você irá
+ antigo em security.debian.org, são grandes as chances de que o pacote antigo
+ seja removido assim que o outro entrar. Portanto, você irá
receber o erro 'arquivo não encontrado'. Nós não queremos distribuir
pacotes com erros de segurança conhecidos por um período de tempo maior
do que o estritamente necessário.</p>
-<p>Por favor use os pacotes dos últimos alertas de segurança, que
+<p>Por favor, use os pacotes dos últimos alertas de segurança, que
são distribuídos através da lista de discussão <a
href="https://lists.debian.org/debian-security-announce/">\
debian-security-announce</a>. É melhor simplesmente executar
<code>apt-get update</code> antes de atualizar o pacote.</p>
-<toc-add-entry name=upload>Eu tenho uma correção de bug. Posso enviar para
- security.debian.org diretamente?</toc-add-entry>
+<toc-add-entry name=upload>Eu tenho uma correção de bug. Posso enviar
+diretamente para security.debian.org?</toc-add-entry>
<p>R: Não, você não pode. O repositório em security.debian.org é mantido
pelo Time de Segurança, que deve aprovar todos os pacotes. Em vez disso,
- você pode enviar patches ou pacotes-fonte apropriados para o Time de
- Segurança pelo e-mail team@security.debian.org. Eles serão revisados pelo
+ você pode enviar correções (patches) ou pacotes-fonte apropriados para o Time
+ de Segurança pelo e-mail team@security.debian.org. Eles serão revisados pelo
Time de Segurança e eventualmente enviados ao repositório, com ou sem
modificações.</p>
-<p>Se você não está acostumado com uploads de segurança e não tem
- 100% de certeza que seu pacote está correto, por favor use esta
- maneira e não envie para o diretório <q>incoming</q>. O Time de Segurança
- não tem muitas opções para lidar com pacotes quebrados, especialmente
- se eles não usam uma versão correta. Os pacotes atualmente não podem
- ser rejeitados e o <abbr title="Build Daemon - Daemon de construção">\
- buildd</abbr> poderia ficar confuso se isto fosse
- possível. Então, por favor use o e-mail e ajude evitando colocar mais
- peso para o Time de Segurança.</p>
-
-<p>O manual <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
- Developer's Reference (Referências para Desenvolvedores)</a> tem instruções
+<p>O documento <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
+ referências para desenvolvedores(as)</a> tem instruções
completas do que fazer.</p>
-<toc-add-entry name=ppu>Eu tenho uma correção de bug. Posso enviar para o
- <q>proposed-updates</q> diretamente?</toc-add-entry>
+<toc-add-entry name=ppu>Eu tenho uma correção de bug, posso então enviar para o
+<q>proposed-updates</q>?</toc-add-entry>
-<p>A: Tecnicamente falando, você pode. No entanto, você não deve fazê-lo,
- uma vez que isso interfere no trabalho do Time de Segurança.
- Pacotes do security.debian.org serão copiados para o diretório
+<p>R: Tecnicamente falando, você pode. No entanto, você não deve fazê-lo,
+ uma vez que isso interfere demais no trabalho do Time de Segurança.
+ Os pacotes do security.debian.org serão copiados para o diretório
<q>proposed-updates</q> automaticamente. Se um pacote com o mesmo número
- de versão ou com um número mais alto já se encontra no arquivo, a atualização
+ de versão ou com um número maior já se encontra no repositório, a atualização
de segurança será rejeitada pelo sistema de arquivamento. Dessa forma, a
- distribuição estável ficará sem uma atualização de segurança para este
- pacote, a menos que o pacote <q>errado</q> do diretório
- <q>proposed-updates</q> seja
- rejeitado. Por favor, em vez disso, contate o Time de Segurança, inclua
- todos os detalhes da vulnerabilidade e anexe os arquivos fontes (por
- exemplo, diff.gz e arquivos dsc) em seu e-mail.</p>
+ versão estável (stable) ficará sem uma atualização de segurança para este
+ pacote, a menos que o pacote <q>errado</q> do repositório
+ <q>proposed-updates</q> seja rejeitado. Por favor, em vez disso, contate o
+ Time de Segurança, inclua todos os detalhes da vulnerabilidade e anexe os
+ arquivos-fonte (por exemplo, diff.gz e arquivos dsc) em seu e-mail.</p>
<p>O manual <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
- Developer's Reference (Referências para Desenvolvedores)</a> tem instruções completas do que fazer.</p>
-
-<toc-add-entry name=SecurityUploadQueue>Eu tenho certeza que meus pacotes estão corretos, como posso enviá-los?</toc-add-entry>
-
-<p>R: Se você tem absoluta certeza que seus pacotes não irão quebrar alguma
- coisa, que a versão está correta (exemplo: maior do que a versão na
- <q>stable</q> e menor do que a versão na <q>testing/unstable</q>), que
- você não alterou o
- comportamento do pacote, apesar do problema de segurança correspondente, que
- você compilou ele para a distribuição correta (que é a
- <code>oldstable-security</code> ou <code>stable-security</code>), que contém
- o código fonte original se o pacote for novo no security.debian.org, que
- você pode confirmar que o patch da versão mais recente é claro e somente
- foi modificada a parte relacionada com o problema de segurança
- correspondente (verifique com <code>interdiff -z</code> e ambos arquivos
- <code>.diff.gz</code>), que você tenha revisado o patch pelo menos três
- vezes, e que o <code>debdiff</code> não tenha mostrado nenhuma mudança, você
- pode enviar diretamente os arquivos para o diretório <q>incoming</q>
+ Referências para Desenvolvedores(as)</a> tem instruções completas do que
+ fazer.</p>
+
+<toc-add-entry name=SecurityUploadQueue>Tenho certeza que meus pacotes estão
+corretos, como posso enviá-los?</toc-add-entry>
+
+<p>R: Se você tem absoluta certeza que seus pacotes não quebrarão alguma
+ coisa; que a versão está correta (exemplo: maior do que a versão na estável (stable)
+ e menor do que a versão na teste/instável (testing/unstable)); que
+ você não alterou o comportamento do pacote apesar do problema de segurança
+ em questão; que você o compilou para a versão correta (que é a
+ <code>oldstable-security</code> ou <code>stable-security</code>); que o
+ pacote contém o código-fonte original se for novo no security.debian.org; que
+ você pode confirmar que a correção (patch) da versão mais recente está
+ correta e somente a parte relacionada com o problema de segurança em questão
+ foi modificada (verifique com <code>interdiff -z</code> e ambos arquivos
+ <code>.diff.gz</code>); que você tenha revisado a correção (patch) pelo menos
+ três vezes; e que o <code>debdiff</code> não tenha mostrado nenhuma mudança,
+ você pode enviar os arquivos diretamente para o repositório de entrada
+ (incoming)
<code>ftp://ftp.security.upload.debian.org/pub/SecurityUploadQueue</code> em
security.debian.org. Por favor, envie também uma notificação com todos
os detalhes e links para o e-mail team@security.debian.org.</p>
<toc-add-entry name=help>Como posso ajudar com a segurança?</toc-add-entry>
<p>R: Por favor, reveja cada problema antes de informá-lo ao
- security@debian.org. Se você for capaz de fornecer patches,
- isto aumentaria a velocidade do processo. Não encaminhe
- e-mails do bugtraq, simplesmente, porque nós já os recebemos
+ security@debian.org. Se você for capaz de fornecer correções (patches),
+ isto aumentará a velocidade do processo. Não encaminhe simplesmente
+ e-mails do bugtraq, porque nós já os recebemos
— mas nos forneça informações adicionais sobre
o que foi relatado no bugtraq.</p>
- <p>Uma boa forma de começar com o trabalho de segurança é ajudando
- com o Rastreador de Segurança Debian (<a
+ <p>Uma boa forma de começar no trabalho de segurança é ajudando
+ com o rastreador de segurança Debian (Debian Security Tracker) (<a
href="https://security-tracker.debian.org/tracker/data/report">instruções</a>).</p>
-<toc-add-entry name=proposed-updates>Qual é o escopo do <q>proposed-updates</q>?</toc-add-entry>
-<p>R: Este diretório contém pacotes que são sugeridos para entrar
- na próxima versão estável do Debian. Sempre que pacotes são enviados
- por um mantenedor para a distribuição estável, eles acabam no
- diretório <q>proposed-updates</q>. Já que a estável é feita para ser estável,
- atualizações automáticas não são realizadas. O Time de Segurança irá
- enviar pacotes corrigidos mencionados em alertas para a estável,
- no entanto, eles serão colocados no <q>proposed-updates</q> antes. A cada
- dois meses, o Gerente da Distribuição Estável confere a lista de pacotes
- do <q>proposed-updates</q> e discute se um pacote serve ou não para a
- estável.
- Então, os escolhidos são compilados em uma nova versão da estável
- (e.x. 2.2r3 ou 2.2r4). Pacotes que não se encaixam na versão estável
- provavelmente serão rejeitados e também descartados do
- <q>proposed-updates</q>.
+<toc-add-entry name=proposed-updates>Qual é o escopo do proposed-updates?</toc-add-entry>
+<p>R: Este repositório contém pacotes que são sugeridos para entrar
+ na próxima versão estável (stable) do Debian. Sempre que pacotes são enviados
+ por um(a) mantenedor(a) para a versão estável, eles acabam no
+ diretório proposed-updates. Já que a estável é feita para ser estável,
+ não são realizadas atualizações automáticas. O Time de Segurança enviará
+ pacotes corrigidos, mencionados em alertas, para a estável, no
+ entanto eles serão colocados antes no proposed-updates. A cada dois meses, o(a)
+ gerente da versão estável confere a lista de pacotes
+ do proposed-updates e discute se um pacote serve ou não para a
+ estável. Os escolhidos são compilados em uma nova versão da estável
+ (por exemplo, 2.2r3 ou 2.2r4). Pacotes que não se encaixam na versão estável
+ provavelmente serão rejeitados e também retirados do proposed-updates.
</p>
- <p>Note que pacotes com uploads feitos pelos mantenedores (não pelo time
- de segurança) no diretório proposed-updates/ não são suportados pelo time
- de segurança.</p>
+ <p>Note que pacotes com uploads feitos por mantenedores(as) (não pelo Time
+ de Segurança) no diretório proposed-updates/ não são suportados pelo Time
+ de Segurança.</p>
<toc-add-entry name=composing>Como o Time de Segurança é composto?</toc-add-entry>
<p>R: O Time de Segurança do Debian consiste em
- <a href="../intro/organization">alguns oficiais e secretários</a>.
+ <a href="../intro/organization">alguns(as) oficiais e secretários(as)</a>.
O próprio Time de Segurança designa pessoas para se juntar ao grupo.</p>
<toc-add-entry name=lifespan>Por quanto tempo as atualizações de segurança são fornecidas?</toc-add-entry>
-<p>R: O time de segurança tenta dar suporte à distribuição estável por mais
- ou menos um ano depois que uma próxima distribuição estável é lançada, exceto
- quando uma outra distribuição estável é lançada neste período. É impossível
- dar suporte a três distribuições; dar suporte a duas simultaneamente já é
+<p>R: O Time de Segurança tenta dar suporte à distribuição estável (stable) por mais
+ ou menos um ano depois que uma próxima versão estável é lançada, exceto
+ quando uma outra versão estável é lançada neste período. É impossível
+ dar suporte a três versões; dar suporte a duas simultaneamente já é
difícil o bastante.
</p>
<toc-add-entry name=check>Como verifico a integridade de um pacote?</toc-add-entry>
-<p>R: É preciso verificar a assinatura do arquivo Release com a
+<p>R: É preciso verificar a assinatura do arquivo Release contra a
<a href="https://ftp-master.debian.org/keys.html">\
- chave pública</a> usada para armazenamento. O arquivo Release
- contém os checksums os arquivos Packages e Sources, que contêm os
+ chave pública</a> usada no repositório. O arquivo Release
+ contém os checksums dos arquivos Packages e Sources, e estes contêm os
checksums dos pacotes binários e fontes. Mais informações de como
verificar a integridade dos pacotes podem ser encontradas no <a
href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\
- Manual de Segurança do Debian</a>.</p>
+ manual de segurança do Debian</a>.</p>
<toc-add-entry name=break>O que fazer quando um pacote aleatório quebra após
uma atualização de segurança?</toc-add-entry>
<p>R: Antes de mais nada, você deve descobrir por que o pacote quebrou e como
- isto está conectado à atualização de segurança, então contate o time de
- segurança se isto for sério ou o gerente da distribuição estável se for menos
- sério. Nós estamos falando de pacotes aleatórios que quebram após uma
- atualização de segurança de um pacote diferente. Se você não pode descobrir
- o que deu errado mas tem uma correção, fale com o time de segurança também.
- É possível que você seja redirecionado ao gerente da distribuição estável.</p>
+ isto está conectado à atualização de segurança, então contate o Time de
+ Segurança se isto for sério ou o(a) gerente da versão estável (stable) se for
+ menos sério. Nós estamos falando de pacotes aleatórios que quebram após uma
+ atualização de segurança de um pacote diferente. Se você não consegue descobrir
+ o que está dando errado, mas tem uma correção, fale com o Time de Segurança também.
+ É possível que você seja redirecionado ao(à) gerente da verão
+ estável.</p>
+
+
+<toc-add-entry name=cvewhat>O que é um identificador CVE?</toc-add-entry>
+<p>R: O projeto Common Vulnerabilities and Exposures (Vulnerabilidades e
+ Exposições Comuns) determina nomes exclusivos, chamados identificadores
+ CVE, para especificar vulnerabilidades de segurança, de modo que seja mais
+ fácil fazer referências a um determinado problema. Mais informações podem ser
+ encontradas na <a
+ href="http://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures">\
+ Wikipedia</a>.</p>
+
+<toc-add-entry name=cvedsa>O Debian lança um DSA para cada identificador CVE?</toc-add-entry>
+<p>R: O Time de Segurança do Debian acompanha cada identificador CVE lançado,
+ o conecta a cada pacote Debian relevante e avalia seu impacto no contexto do
+ Debian - o fato de que algo foi identificado como CVE não implica
+ necessariamente que é uma ameaça séria para o sistema Debian.
+ Esta informação é monitorada no
+ <a href="https://security-tracker.debian.org">Debian Security Tracker (Rastreador de Segurança Debian)</a>
+ e, para casos que são considerados sérios, será lançado um Alerta de
+ Segurança Debian.</p>
+
+<p>Casos de baixo impacto que não se qualificam como DSA podem ser corrigidos na
+ próxima versão do Debian, em uma versão pontual das atuais distribuições
+ estável (stable) ou antiga (oldstable), ou incluídos num DSA quando referirem-se
+ à vulnerabilidades mais sérias.</p>
+
+<toc-add-entry name=cveget>O Debian pode definir identificadores CVE?</toc-add-entry>
+<p>R: O Debian é uma CVE Numbering Authority (Autoridade de Numeração CVE) e
+ pode definir identificadores, mas seguindo a política CVE, somente para casos
+ ainda desconhecidos. Se você possui uma vulnerabilidade de segurança
+ desconhecida para softwares do Debian e gostaria de definir um identificador
+ para ela, contate o Time de Segurança. Para casos em que a vulnerabilidade já
+ é pública, sugerimos que você siga o procedimento detalhado no documento
+ <a href="https://github.com/RedHatProductSecurity/CVE-HOWTO">\
+ como fazer uma requisição de CVE para código aberto</a> (CVE OpenSource
+ Request).</p>
+
+<toc-add-entry name=disclosure-policy>O Debian possui uma política de revelação de vulnerabilidades?</toc-add-entry>
+<p>R: O Debian publicou uma <a href="disclosure-policy">política de revelação de
+vulnerabilidades</a> como parte de sua participação no programa CVE.</p>
+
+
+<h1>FAQ de segurança Debian descontinuado</h1>
+
+<toc-add-entry name=localremote>O que significa <q>local (remote)</q>?</toc-add-entry>
+<p><b>O campo <i>Problem type (tipo de problema)</i> nos e-mails DSA não são mais
+ usados desde abril de 2014.</b><br/>
+ R: Alguns alertas tratam de vulnerabilidades que não podem ser identificadas
+ usando o esquema clássico de explorações locais ou remotas. Algumas
+ vulnerabilidades não podem ser exploradas remotamente, ou seja, não
+ correspondem a um daemon associado a uma porta de rede.
+ Nos casos em que é possível explorá-las através de arquivos especiais
+ que possam estar disponíveis via rede enquanto o serviço
+ vulnerável não se encontra conectado permanentemente com a rede,
+ nós utilizamos <q>local (remote)</q>.
+
+<p>Essas vulnerabilidades estão entre as vulnerabilidades locais e
+ remotas, e muitas vezes dizem respeito a arquivos que poderiam ser
+ disponibilizados através da rede, como um anexo de e-mail
+ ou por uma página de download.</p>
Reply to: