Re: Guvenlik Guncellestirmeleri

To: debian-user-turkish@lists.debian.org
Subject: Re: Guvenlik Guncellestirmeleri
From: Murat Demirten <murat@debian.org>
Date: Tue, 23 Sep 2003 16:13:35 +0300
Message-id: <[🔎] 200309231613.35997.murat@debian.org>
In-reply-to: <[🔎] 1064331904.3f706a804bcae@webmail.boun.edu.tr>
References: <[🔎] 1064243376.2839.9.camel@dasterix> <[🔎] 20030922202432.C9388@samsun.omu.edu.tr> <[🔎] 1064331904.3f706a804bcae@webmail.boun.edu.tr>

Selam,

Eğer security.debian.org olarak araya başka makine girerse şu an için 
otomatize edilmiş bir çözüm yok. Olay nasıl ona bakalım:

- Çektiğiniz deb paketlerinin md5 checksum değerleri Packages.gz dosyasında 
yazıyor. Ancak Packages.gz dosyası da saldırgan tarafından uygun şekilde 
değiştirilmiş olabilir.

- Packages.gz dosyasının md5 checksumı Release dosyası içerisindedir ancak bu 
da değişmiş olabilir.

- Release dosyasının gpg ile sign edilmiş hali Release.gpg'dir. Bu dosyayı 
çekip kontrol edebilirsiniz. Keyi keyring.debian.org'dan veya 
http://ftp-master.debian.org/ziyi_key_2003.asc adresinden çekebilirsiniz.

Bu işleri daha hızlıca yapmak için şu shell scripti kullanabilirsiniz:
http://people.debian.org/~ajt/apt-check-sigs

Ayrıca bu işlem için paket yönetim sisteminde iyileştirmeler planlanıyor.


Sal 23 Eyl 2003 18:45 tarihinde, bilginx@boun.edu.tr şunları yazmıştı: 
> Merhaba,
>
> Soyle bir seneryo uretelim. Mesela  x ulkesinde   Her yerde debian
> kullanilsaydi.  Bu bir sekilde duyulsaydi.  Bu security update leri
> esnasinda birileri x ulkesinden gelen  ip araliginda gelen paketleri sahte
> bir security.debian.org'a yonlendirip security patch'lari vasitasiyla bu
> serverlara girebilir miydi?
> Gercekten o siteye baglandigindan nasil emin olunurdu? md5 falan bir
> cheksum mekanizmasi var mi?
>
> Bilgin
>
> Quoting Recai Oktas <roktas@omu.edu.tr>:
> > * E&Erdem <werdem@lycos.co.uk> [2003-09-22 18:09:37+0300]
> >
> > > Merhaba,
> > > Guvenlik listesinde, guncellestirilmesi istenen paketleri apt-get ile
> > > guncellestiremiyorum, ya da bana oyle geliyor.
> > >
> > > Adi verilen apt-get adresi sources.list'te olmasina ragmen apt-get
> > > update, apt-get upgrade yaptigimda guncellestirilecek paketler
> > > listesinde bu dosyalarin adlarini goremiyorum.
> >
> > Bunun nedenini anlamaniz icin Debian'da guvenlik yamalarinin ne sekilde
> > yayimlandigini anlamaniz lazim.  Debian Security FAQ[1]'yu okumanizda
> > yarar var.  Kisaca izah etmek gerekirse:
> >
> > Guvenlik guncellemeleri *genel olarak* (fakat kesin degil) once
> > unstable'a uygulanir ve oradan da "stable"daki versiyona geri tasinir.
> > Guvenlik yamalarinin oncelikli ve en onemli hedefi *kararli* surumdur.
> > (Yamanin once unstable'a girmesi basitce `staging' olarak
> > degerlendirilebilir, fakat kesinlikle kural degildir.)  Ikincil olarak
> > "testing" dikkate alinir ve "stable"daki guvenlik acigi duzeltildikten
> > belirsiz bir sure sonra bu yama "testing"e de uygulanir.  Buradaki
> > belirsizliklere dikkat!  Yama bazen ayni anda her uc surume de
> > uygulanir, bazen "unstable"a girer ve "stable"a geri tasinir ve bir sure
> > sonra gecikmeli olarak "testing"de yerini alir.  Fakat belirsiz olmayan
> > tek sey "kararli" surumun en kisa zamanda mutlaka guvenlik
> > guncellemesinden gececegidir. Buradan cikan sonuclar:
> >
> > * Guvenlik sizin icin cok onemliyse "stable"dan sasmayin.
> >
> > * "unstable" "testing"e gore goreceli olarak daha guvenlidir (yukarida
> >   anlattigim mekanizmadan dolayi).  Sistem/paket kararliligi acisindan
> >   tam tersi gecerli suphesiz.
> >
> > * Guvenlik yamalari icin:
> >
> > 	deb http://security.debian.org/ stable/updates
> > 	deb http://security.debian.org/ testing/updates
> >
> >   depolari anlamlidir.  Fakat:
> >
> > 	deb http://security.debian.org/ unstable/updates
> >
> >   gibi bir link anlamli degildir.  (Boyle bir depo yoktur.)
> >
> > Siz saniyorum "unstable"i takip ediyorsunuz, /etc/apt/sources.list'deki
> > `security' depolarinda stable veya testing tanimli ve fakat
> > makinanizdaki butun paketler unstable'dan alinma ise sisteminizde
> > guncelleme yapilmaz.
> >
> > > Ayrica ssh ile ilgili guvenlik acigi uyarinca 3.4.1'i kurmustum simdi
> > > apt-get upgrade yapinca 3.6.1 yuklendi. Bunu nasil onlerim, ya da bu
> > > yeni pakette de bu acik duzeltilmis midir?
> >
> > Yukarida izah ettigim gerekcelerle ssh 3.6.1 cok *muhtelemelen*
> > 3.4.1'deki guvenlik acigi kapatilmis bir versiyondur (changelog'lari
> > inceleyin).  Diger soru icin: bir paketin guncellenmesini onlemek
> > amaciyla onu "hold"a almaniz lazim, dselect'te paketi secip `=' tusuna
> > basarsaniz bu islem gerceklesir.
> >
> > [1] http://www.debian.org/security/faq
> >
> > (Bu belge FM Ceviri'de su an ceviriliyor, bir an once bitse guzel olurdu
> > aslinda :-)
> >
> > --
> > roktas
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-turkish-request@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact
> > listmaster@lists.debian.org

Reply to:

References:
- Guvenlik Guncellestirmeleri
  - From: E&Erdem <werdem@lycos.co.uk>
- Re: Guvenlik Guncellestirmeleri
  - From: Recai Oktas <roktas@omu.edu.tr>
- Re: Guvenlik Guncellestirmeleri
  - From: bilginx@boun.edu.tr

Prev by Date: Re: Guvenlik Guncellestirmeleri
Next by Date: artik redhat linux yokmus
Previous by thread: Re: Guvenlik Guncellestirmeleri
Next by thread: artik redhat linux yokmus
Index(es):
- Date
- Thread