doc/de/security/security.sgml

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" [
<!ENTITY base CDATA "..">
<!ENTITY date "$FreeBSD$">
<!ENTITY dedate "$FreeBSDde: de-www/security/security.sgml,v 1.10 2004/05/16 18:07:53 mheinen Exp $">
<!ENTITY reference "basiert auf: 1.159">
<!ENTITY title "FreeBSD Sicherheit">
<!ENTITY % includes SYSTEM "../includes.sgml"> %includes;
<!ENTITY advisories.html.inc SYSTEM "advisories.html.inc">
]>

<html>
  &header;

  <h2>Einf&uuml;hrung</h2>

  <p>Diese Webseite gibt Einsteigern und erfahrenen Benutzern
    Hilfestellungen zum Thema Sicherheit.  Bei FreeBSD wird
    Sicherheit gro&szlig; geschrieben:  Wir arbeiten st&auml;ndig
    daran, das Betriebssystem so sicher wie m&ouml;glich zu machen.</p>

  <p>Im Folgenden finden Sie Informationen zu verschiedenen
    Sicherheitsaspekten, beispielsweise wie Sie ein System
    vor bestimmten Angriffen sch&uuml;tzen und wenn Sie
    ansprechen k&ouml;nnen, wenn Sie einen sicherheitsrelevanten
    Fehler finden.  Ein gesonderter Abschnitt f&uuml;r Entwickler
    erl&auml;utert Ma&szlig;nahmen, die Sicherheistl&uuml;cken
    in Programmen verhindern.</p>

  <h2>Inhalt</h2>
  <ul>
    <li><a href="#how">Sicherheitsprobleme melden</a></li>
    <li><a href="#sec">Der FreeBSD Security-Officer</a></li>
    <li><a href="charter.html">Die Charta des Security-Officers</a></li>
    <li><a href="#pol">Umgang mit Informationen</a></li>
    <li><a href="#adv">FreeBSD Sicherheitshinweise</a></li>
    <li><a href="http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/security-advisories.html">FreeBSD-Sicherheitshinweise
      verstehen</a></li>
  </ul>

  <a name="how"></a>
  <p>Melden Sie Sicherheitsprobleme in FreeBSD direkt an das
    <a href="mailto:security@FreeBSD.org">Security-Officer-Team</a> oder
    den <a href="mailto:security-officer@FreeBSD.org">Security-Officer</a>.
    Wenn Sie ein Problem melden, geben Sie bitte Folgendes an:</p>

  <ul>
    <li>Eine Beschreibung des Sicherheitsproblems,</li>
    <li>welche FreeBSD-Versionen betroffen sind,</li>
    <li>wie das Problem umgangen werden kann und</li>
    <li>wenn m&ouml;glich, reichen Sie bitte auch eine
      Fehlerbehebung ein.</li>
  </ul>

  <p>Der Security-Officer oder ein Mitglied des Security-Officer-Teams
    wird Sie ansprechen, nachdem Sie ein Problem gemeldet haben.</p>

  <a name="sec"></a>
  <h2>Der FreeBSD Security-Officer und das Security-Officer-Team</h2>

  <p>Um z&uuml;gig sicherheitsrelevante Informationen mit anderen
    auszutauschen, besitzt das FreeBSD Project einen zentralen
    Ansprechpartner:  Den FreeBSD Security-Officer.</p>

  <p>Wenn Sie ein Sicherheitsproblem an das FreeBSD Project
    melden wollen, schreiben Sie eine
    <a href="mailto:security-officer@FreeBSD.org">E-Mail
    an den Security-Officer</a>.  Beschreiben Sie in der
    E-Mail die entdeckte Sicherheitsl&uuml;cke.</p>

  <p>Damit Sicherheitsprobleme schnell bearbeitet werden,
    wird die E-Mail an das Security-Officer Alias an vier
    Personen ausgeliefert: den Security-Officer, den
    Deputy-Security-Officer und zwei Mitglieder des
    Core-Teams.  Zurzeit werden E-Mails an <a
      href="mailto:security-officer@FreeBSD.org">&lt;security-officer@FreeBSD.org&gt;</a>
    an die folgenden Personen geliefert:</p>

  <table>
    <tr valign="top">
      <td>Jacques Vidrine <a
        href="mailto:nectar@FreeBSD.org">&lt;nectar@FreeBSD.org&gt;</a></td>
      <td>Security-Officer</td>
    </tr>
    <tr valign="top">
      <td>Dag-Erling Sm&oslash;rgrav <a
        href="mailto:jedgar@FreeBSD.org">&lt;des@FreeBSD.org&gt;</a></td>
      <td>Deputy-Security-Officer</td>
    </tr>
    <tr valign="top">
      <td>Robert Watson <a
        href="mailto:rwatson@FreeBSD.org">&lt;rwatson@FreeBSD.org&gt;</a></td>
      <td>FreeBSD Core-Team, Release-Engineering,<br>
          TrustedBSD-Project, Experte f&uuml;r Sicherheitsarchitektur</td>
    </tr>
    <tr valign="top">
      <td>Warner Losh <a
        href="mailto:imp@FreeBSD.org">&lt;imp@FreeBSD.org&gt;</a></td>
      <td>FreeBSD Core-Team, Security-Officer-Emeritus</td>
    </tr>
  </table>

  <p>Der Security-Officer wird vom
    <a href="mailto:security@FreeBSD.org">FreeBSD-Security-Team
      &lt;security@FreeBSD.org&gt;</a> unterst&uuml;tzt.
    Das Team besteht aus einer Gruppe von Committern, die vom
    Security-Officer ausgew&auml;hlt werden.</p>

  <p>Verschl&uuml;sseln Sie E-Mails mit dem <a
    href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/public_key.asc">PGP-Schl&uuml;ssel
    des Security-Officers</a>, wenn dies erforderlich
    ist.</p>

  <a name="pol"></a>
  <h2>Umgang mit Informationen</h2>

  <p>Generell ver&ouml;ffentlicht  der Security-Officer nach einer
    angemessenen Zeit alle Informationen &uuml;ber ein Sicherheitsproblem.
    Die Zeitspanne erlaubt eine sichere Analyse und die
    Behebung des Sicherheitsproblems und dient auch zum
    Testen der Korrektur sowie der Koordination mit anderen
    Betroffenen.</p>

  <p>Der Security-Officer <em>wird</em> einen oder mehrere der
    <a href="mailto:admins@FreeBSD.org">Administratoren des
      FreeBSD-Clusters</a> &uuml;ber Sicherheitsprobleme informieren,
    die Ressourcen des FreeBSD Projects bedrohen.</p>

  <p>Der Security-Officer kann weitere FreeBSD-Entwickler oder
    externe Entwickler hinzuziehen, wenn dies zur Beurteilung
    oder L&ouml;sung des Sicherheitsproblems notwendig ist.
    Ein diskretes Vorgehen verhindert die unn&ouml;tige Verbreitung
    des Sicherheitsproblems.  Alle hinzugezogenen Experten
    handeln entsprechend den Richtlinien des Security-Officers.
    In der Vergangenheit wurden Experten wegen ihrer immensen
    Erfahrungen mit komplexen Komponenten des Systems, wie
    dem FFS, dem VM-System und dem Netzwerkstack, hinzugezogen.</p>

  <p>Wenn gerade ein Release erstellt wird, kann der FreeBSD
    Release-Engineer ebenfalls &uuml;ber das Sicherheitsproblem
    und dessen Ausma&szlig;e unterrichtet werden.  Damit k&ouml;nnen
    fundierte Entscheidungen &uuml;ber den Ablauf der Release-Erstellung
    und die Auswirkungen der Sicherheitsprobleme auf das kommende
    Release getroffen werden.  Auf Anfrage gibt der Security-Officer
    nur die Existenz des Sicherheitsproblems und dessen Schwere
    an den Release-Engineer weiter.</p>

  <p>Der Security-Officer arbeitet eng mit anderen Organisationen
    zusammen.  Dazu z&auml;hlen Dritthersteller, die Quellcode
    von FreeBSD benutzen (OpenBSD, NetBSD, Apple und andere
    Hersteller, die Software auf Basis von FreeBSD vertreiben,
    sowie die Linux-Vendor-Security Liste) und Organisationen,
    die Sicherheitsproblemen und Sicherheitsvorf&auml;llen
    nachgehen, beispielsweise das CERT.  Oft haben Sicherheitsprobleme
    Auswirkungen, die &uuml;ber FreeBSD hinausgehen.  Sie
    k&ouml;nnen auch (vielleicht weniger h&auml;ufig) gro&szlig;e
    Teile des Internets betreffen.  Unter diesen Umst&auml;nden
    wird der Security-Officer andere Organisationen &uuml;ber
    das Sicherheitsproblem informieren wollen.  Wenn Sie das nicht
    w&uuml;nschen, vermerken Sie das bitte explizit beim Einreichen
    eines Sicherheitsproblems.</p>

  <p>Besondere Anforderungen an den Umgang mit den eingereichten
    Information m&uuml;ssen ausdr&uuml;cklich angegeben werden.</p>

  <p>Wenn die Ver&ouml;ffentlichung des Sicherheitsproblems mit
    dem Einsender und/oder anderen Lieferanten abgestimmt werden
    soll, so muss dies ausdr&uuml;cklich beim Einreichen des
    Problems angegeben werden.  Ist dies nicht vermerkt, legt
    der Security-Officer einen Zeitplan f&uuml;r die
    Ver&ouml;ffentlichung des Problems fest.  Der Zeitplan
    ber&uuml;cksichtigt die m&ouml;glichst schnelle
    Ver&ouml;ffentlichung und die zum Testen von L&ouml;sungen
    ben&ouml;tigte Zeit.  Wenn das Problem schon in &ouml;ffentlichen
    Foren (wie Bugtraq) diskutiert wird und ausgenutzt wird,
    kann der Security-Officer einen anderen als den vorgeschlagenen
    Zeitplan verwenden.  Dies dient dem maximalen Schutz der
    Benutzergemeinde.</p>

  <p>Einsender von Sicherheitsproblemen sollte bewusst sein, dass
    FreeBSD ein Open-Source-Projekt ist.  Jede &Auml;nderung
    des FreeBSD-Quellbaums ist &ouml;ffentlich und jedem
    zug&auml;nglich.  Stellt der Einsender einen Zeitplan
    zur Verf&uuml;gung, sollte der Plan die Zeitspanne zwischen
    der Aufnahme der Fehlerbehebung in den Quellbaum und der
    Ver&ouml;ffentlichung ber&uuml;cksichtigen.  Die Zeitspanne
    ist n&ouml;tig, da der Hinweis, die Fehlerbehebungen und die
    bin&auml;ren Patche mithilfe eines Versionierungs-Systems
    erstellt werden,</p>

  <p>Eingesendete Sicherheitsprobleme k&ouml;nnen mit PGP gesch&uuml;tzt
    werden.  Auf Wunsch werden die Antworten ebenfalls mit PGP
    gesch&uuml;tzt.</p>

  <a name="adv"></a>
  <h2>FreeBSD Sicherheitshinweise</h2>

  <p>Der FreeBSD-Security-Officer gibt Sicherheitshinweise
    f&uuml;r verschiedene FreeBSD-Entwicklungszweige heraus:
    Die <em>-STABLE-Zweige</em> und die <em>Sicherheits-Zweige</em>.
    F&uuml;r den <em>-CURRENT-Zweig</em> werden keine
    Sicherheitshinweise herausgegeben.</p>

  <ul>
    <li>
      <p>Normalerweise gibt es nur einen -STABLE-Zweig.  Bei einem
	&Uuml;bergang von einer Hauptversion zu einer neuen
	Hauptversion (wie von FreeBSD 4.X zu 5.X) gibt es
	allerdings zeitweise zwei -STABLE-Zweige.  Die Tags
	der -STABLE-Zweige haben Namen wie <tt>RELENG_4</tt>.
	Die daraus gebauten FreeBSD-Versionen werden beispielsweise
	<tt>FreeBSD 4.6-STABLE</tt> genannt.</p>
    </li>

    <li>
      <p>Jedes FreeBSD-Release besitzt einen Sicherheits-Zweig.
	Die Tags der Sicherheits-Zweige haben Namen wie
	<tt>RELENG_4_6</tt>.  Die daraus gebauten FreeBSD-Versionen
	tragen Namen wie <tt>FreeBSD 4.6-RELEASE-p7</tt>.</p>
    </li>
  </ul>

  <p>Sicherheitshinweise f&uuml;r die FreeBSD-Ports-Collection
    werden auf der Seite <a href="http://vuxml.FreeBSD.org/">FreeBSD VuXML</a>
    ver&ouml;ffentlicht.</p>

  <p>Jeder Zweig wird vom Security-Officer nur f&uuml;r eine begrenzte
    Zeit gewartet.  Die Zweige werden in Klassen
    eingeteilt, die den Wartungszeitraum bestimmen:</p>

  <dl>
    <dt>Early-Adopter</dt>
    <dd>Releases aus dem -CURRENT-Zweig werden f&uuml;r mindestens
      6&nbsp;Monate nach Erscheinen des Releases gewartet.</dd>

    <dt>normal</dt>
    <dd>Releases aus dem -STABLE-Zweig werden f&uuml;r mindestens
      12&nbsp;Monate nach Erscheinen des Releases gewartet.</dd>
    <dd></dd>

    <dt>erweitert</dt>
    <dd>Ausgew&auml;hlte Releases werden f&uuml;r mindestens
      24&nbsp;Monate nach Erscheinen des Releases gewartet.</dd>
  </dl>

  <p>Die Einteilung und Wartungsenden der momentan unterst&uuml;tzten
    Releases finden Sie in der folgenden Tabelle.  Die Spalte
    <em>Wartungsende</em> gibt den fr&uuml;hest m&ouml;glichen
    Zeitpunkt an, an dem ein Zweig aus der Wartung l&auml;uft.
    Beachten Sie, dass die Zeitr&auml;ume verl&auml;ngert werden
    k&ouml;nnen, aber nur besondere Umst&auml;nde dazu f&uuml;hren,
    dass ein Zweig vorzeitig aus der Wartung genommen wird.</p>

  <table border="3" cellspacing="0" cellpadding="2">
    <tr>
      <th>Zweig</th>
      <th>Release</th>
      <th>Klasse</th>
      <th>Wartungsende</th>
    </tr>

    <tr>
      <td>RELENG_4</td>
      <td>-</td>
      <td>-</td>
      <td>31. M&auml;rz 2005</td>
    </tr>

    <tr>
      <td>RELENG_4_8</td>
      <td>4.8-RELEASE</td>
      <td>erweitert</td>
      <td>31. M&auml;rz 2005</td>
    </tr>

    <tr>
      <td>RELENG_5_2</td>
      <td>5.2-RELEASE</td>
      <td>Early-Adopter</td>
      <td>31. Dezember 2004</td>
    </tr>

    <tr>
      <td>RELENG_4_9</td>
      <td>4.9-RELEASE</td>
      <td>normal</td>
      <td>31. Oktober 2004</td>
    </tr>
  </table>

  <p>&Auml;ltere Releases werden nicht mehr gepflegt.  Benutzer
    solcher Releases sollten dringend auf eine oben aufgef&uuml;hrte
    unterst&uuml;tzte Release aktualisieren.</p>

  <p>Wie alle Entwicklungen werden Fehlerbehebungen zuerst
    in den <a href="../doc/en_US.ISO8859-1/books/handbook/cutting-edge.html#CURRENT">FreeBSD-CURRENT</a>-Zweig
    gebracht.  Nach einigen Tagen und Abschlu&szlig; der Tests
    wird die Fehlerbehebung auf die unterst&uuml;tzten -STABLE-Zweige
    angepasst und der Sicherheitshinweis wird ver&ouml;ffentlicht.</p>

  <p>Ein paar Zahlen zu den im Jahr 2002 ver&ouml;ffentlichten Hinweisen:</p>

  <ul>
    <li>44 Hinweise von unterschiedlicher Schwere betrafen das
      Basissystem.</li>
    <li>12 Hinweise davon betrafen nur FreeBSD.  Die restlichen
      32&nbsp;Hinweise betrafen auch mindestens ein anderes
      Betriebssystem.  Dies wurde haupts&auml;chlich durch gemeinsam
      benutzte Code-Teile verursacht.</li>
    <li>Es wurden 6&nbsp;Mitteilungen herausgegeben, die auf
      95&nbsp;Probleme mit Software Dritter aus der Ports-Collection
      hinwiesen.</li>
  </ul>

  <p>Die Hinweise werden an die folgenden FreeBSD-Mailinglisten
    versendet:</p>

  <ul>
    <li>FreeBSD-security-notifications@FreeBSD.org</li>
    <li>FreeBSD-security@FreeBSD.org</li>
    <li>FreeBSD-announce@FreeBSD.org</li>
  </ul>

  <p>Die Hinweise werden immer mit dem
    <a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/public_key.asc">PGP-Schl&uuml;ssel</a>
    des FreeBSD-Security-Officers signiert.  Die Hinweise werden
    zusammen mit den Fehlerbehebungen in unserem
    <a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/index.html">FTP
      CERT-Repository</a> abgelegt.  Zurzeit sind folgende Hinweise
    verf&uuml;gbar (die Liste kann ein paar Tage alt sein,
    die neusten Hinweise finden Sie auf unserem
    <a href="ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/">FTP-Server</a>):</p>

  &advisories.html.inc;

    &footer;
    </body>
</html>