セキュリティアドバイザリ

提供: ArchWiki
2016年11月1日 (火) 00:39時点におけるKusakata (トーク | 投稿記録)による版 (同期)
ナビゲーションに移動 検索に移動

関連記事

セキュリティアドバイザリはコミュニティによって運営されている Arch CVE Monitoring Team によって arch-security メーリングリストで発行されています。公開されたアドバイザリは全て下に記載しています。最新のアドバイザリを受け取りたい時は arch-security を講読することを推奨します。関連する CVE の情報は ACMT によって CVE のページでまとめられています。

計画されているアドバイザリ

最近のアドバイザリ

以下は arch-security メーリングリストに投稿されたセキュリティアドバイザリのアーカイブです。

October 2016

September 2016

August 2016

July 2016

June 2016

May 2016

April 2016

March 2016

February 2016

January 2016

December 2015

November 2015

October 2015

September 2015

August 2015

July 2015

June 2015

May 2015

Apr 2015

Mar 2015

Feb 2015

Jan 2015

Dec 2014

Nov 2014

Oct 2014

Sep 2014

新しいアドバイザリの公開

アドバイザリを発行する前に該当するパッケージで脆弱性が修正されるのを待機するようにしています。非常に危険性が高い脆弱性の場合、対処方法が存在する場合にのみ、パッケージが修正される前にアドバイザリを発行することがあります。

新しいアドバイザリを公開したいときは、以下をチェックしてください:

  • 該当する Arch Linux パッケージに本当に脆弱性が存在すること。
  • Procedure が完了されていること。
  • まだ問題の脆弱性の Arch Linux セキュリティアドバイザリが公開されていないこと。
  • このページの"計画されているアドバイザリ"のリストに問題の脆弱性のセキュリティアドバイザリが存在しないこと、存在する場合、誰かが既にアドバイザリに手をつけています。
  • パッケージの ouf-of-date フラグか (上流で問題の修正がリリースされている場合)、あるいは bug-tracker のエントリによってパッケージのメンテナに通知されていること (実際の作業はこちらを参照)。

新しいアドバイザリを作成する手順:

  • このページの"計画されているアドバイザリ"のリストに行を追加して、アドバイザリを発行することを予め公知してください。
  • 以下のテンプレートを使ってアドバイザリを記述します。
  • アドバイザリを arch-security メーリングリストに送信します (PGP で署名されたメールの方が好ましいですが、必須ではありません)。
  • 発行したアドバイザリを"計画されているアドバイザリ"から"最近のアドバイザリ"に移動します。
  • 修正されたパッケージを CVE のページに追加して適当な ASA へのリンクを追加してください。

テンプレート

Subject:
[ASA-<YYYYMM-N>] <Package>: <Vulnerability Type>

Body:
Arch Linux Security Advisory ASA-YYYYMM-N
=========================================

Severity: Low, Medium, High, Critical
Date    : YYYY-MM-DD
CVE-ID  : <CVE-ID>
Package : <package>
Type    : <Vulnerability Type>
Remote  : <Yes/No>
Link    : https://wiki.archlinux.org/index.php/CVE

Summary
=======

The package <package> before version <Arch Linux fixed version> is vulnerable to <Vulnerability type>.

Resolution
==========

Upgrade to <Arch Linux fixed version>.

# pacman -Syu "<package>>=<Arch Linux fixed version>"

The problem has been fixed upstream in version <upstream fixed version>.

Workaround
==========

<Is there a way to mitigate this vulnerability without upgrading?>

Description
===========

<Long description, for example from original advisory>.

Impact
======

<
What is it that an attacker can do? Does this need existing
pre-conditions to be exploited (valid credentials, physical access)?
Is this remotely exploitable?
>.

References
==========

<CVE-Link>
<Upstream report>
<Arch Linux Bug-Tracker>

Vim-Snippet

Vim-Snippet は archlinux のテンプレートを簡単に入力するための vim-ultisnips のプラグインです。vim-ultisnips をインストールして以下のテキストを ~/.vim/UltiSnips/all.snippets にコピーしてください。CTRL+j でジャンプできます。

snippet archsec "arch security form"                                                                                   
Arch Linux Security Advisory ASA-`date -I -u | egrep -o '[0-9]{4}'``date -I -u | egrep -o '[0-9]{2}' | sed '3q;d'`-${1}
========================================${1/./=/g}                                                                     

Severity: ${2}                                                                                                         
Date    : `date -I -u`                                                                                                 
CVE-ID  : $3                                                                                                           
Package : $4                                                                                                           
Type    : $5
Remote  : ${6}                                                                                                         
Link    : https://wiki.archlinux.org/index.php/CVE                                                                     
                                                                                                                       
Summary
=======
                                                                                                                       
The package $4 before version $7 is vulnerable to $5 ${8}                                                              
                                                                                                                       
Resolution
==========
                                                                                                                       
Upgrade to $7.
                                                                                                                       
# pacman -Syu "$4>=$7"                                                                                                 
                                                                                                                       
${9:The problems have been fixed upstream in version ${7/-\d+$/./}}                                                    
                                                                                                                       
Workaround
==========                                                                                                             
                                                                                                                       
${10:None.}                                                                                                            

Description                                                                                                            
===========                                                                                                            

${3/(CVE-....-....)(\s?)/- $1(?2: : )()\n\n/g}                                                                         

Impact
======                                                                                                                 

A${6/(Yes)|(No)/(?1: remote )(?2: local )/}attacker is able to ${12}                                                   

References
==========                                                                                                             
                                                                                                                       
${3/(CVE-....-....)(\s?)/https:\/\/access.redhat.com\/security\/cve\/$1\n/g}
${13}
endsnippet