Debian Sicherheitshinweise CVE-kompatibel

To: debian-news-german@lists.debian.org
Subject: Debian Sicherheitshinweise CVE-kompatibel
From: Frank Lichtenheld <djpig@debian.org>
Date: Wed, 31 Mar 2004 13:00:30 +0200
Message-id: <[🔎] 20040331110030.GA712@djpig.de>
Mail-followup-to: djpig@debian.org, debian-user-german@lists.debian.org

------------------------------------------------------------------------
Das Debian Projekt                                http://www.debian.org/
Debian Sicherheitshinweise CVE-kompatibel               press@debian.org
30. März 2004                   http://www.debian.org/News/2004/20040330
------------------------------------------------------------------------

Debian Sicherheitshinweise sind CVE-kompatibel

Die Debian Sicherheitshinweise (DSA) sind auf der RSA-Konferenz 2004
in San Francisco am 24. Februar 2004 für CVE-komaptibel[1] erklärt worden.

  1. http://www.debian.org/security/cve-compatibility

Der DSA-Service, bereitgestellt durch das Debian Sicherheits-Team,
bietet seit 1997 Informationen über Sicherheitsverwundbarkeiten, die
in Debian GNU/Linux Releases behoben wurden. Um mit dem Common
Vulnerabilities and Exposures (CVE) Projekt[2] zu kooperieren, das
eine Standardisierung der Namen aller öffentlich bekannten
Verwundbarkeiten erreichen will, haben alle neuen Sicherheishinweise[3]
seit Juni 2002 die entsprechenden CVE-Namen beinhaltet. Debian hat sich
im Mai 2003 offiziell für die CVE-Kompatibilität beworben.

  2. http://cve.mitre.org/
  3. http://www.debian.org/security/

Das Debian-Projekt glaubt, dass es sehr wichtig ist, Anwender mit
zusätzlichen Informationen in Bezug auf Sicherheitsprobleme, die die 
Debian-Distribution betreffen, zu versorgen. Die Einbeziehung von
CVE-Namen in Sicherheitshinweise hilft Nutzern, allgemeine
Verwundbarkeiten spezifischen Debian-Sicherheitshinweisen und
Debian-Aktualisierungen zuzuordnen, was die Zeit reduziert, die
dafür aufgewendet werden muss, Verwundbarkeiten, die unsere
Benutzer betreffen, zu behandeln.

Die Verfügbarkeit allgemeiner Sicherheitsangaben erleichtert außerdem
das Sicherheitsmanagement in Umgebungen, in denen CVE-basierte
Sicherheitswerkzeuge wie Netzwerk- oder
Host-»Intrusion Detection«-Systeme oder Verwundbarkeitsbewertungstools
schon zum Einsatz kommen, unabhängig davon, ob diese Debian-basiert
sind oder nicht.

Das Debian-Projekt hat CVE-Namen zu allen Sicherheitshinweisen, die 
seit September 1998 herausgegeben wurden, hinzugefügt. Dies geschah
in einem Überprüfungsprozess, der im August 2002 gestartet wurde.
Alle Sicherheitshinweise können über die Debian-Webseite erreicht 
werden und alle Hinweise auf neue Verwundbarkeiten enthalten 
CVE-Namen, wenn diese zum Zeitpunkt der Veröffentlichung schon
verfügbar sind. Hinweise, die mit einem bestimmten CVE-Namen in
Verbindung stehen, können über unsere Suchmaschine[4] gesucht werden.

  4. http://search.debian.org/

Außerdem stellt Debian eine komplette Kreuzreferenz-Tabelle[5] bereit,
die alle Referenzen einschließt, die für alle Hinweise seit 1997
verfügbar sind. Diese Tabelle soll die Referenzen-Tabelle[6],
die bei CVE verfügbar ist, ergänzen.

  5. http://www.debian.org/security/crossreferences
  6. http://cve.mitre.org/cve/refs/refmap/source-DEBIAN.html

Die Debian-Entwickler verstehen den Bedarf nach genauen und
aktuellen Informationen über den Sicherheitsstatus der
Debian-Distribution, die es den Benutzern erlauben, die Risiken neuer
Verwundbarkeiten zu handhaben. CVE-Namen ermöglichen es uns,
standardisierte Verweise auf alle öffentlich bekannten Verwundbarkeiten
und Sicherheitsgefährdungen bereitzustellen, die es den Benutzern
erlauben, einen CVE-basierten Sicherheitsmanagement-Prozess zu entwickeln.

Reply to:

Prev by Date: Debian Weekly News - 30. März 2004
Next by Date: Gemeinsame Erklärung zur Sicherheit von GNU/Linux
Previous by thread: Debian Weekly News - 30. März 2004
Next by thread: Gemeinsame Erklärung zur Sicherheit von GNU/Linux
Index(es):
- Date
- Thread