Arch Security Team

提供: ArchWiki
ナビゲーションに移動 検索に移動

Arch Security Team は Arch Linux パッケージのセキュリティ問題を追跡することを目的としたボランティアグループです。全ての問題は Arch Linux security tracker で追跡されています。このチームは以前は Arch CVE Monitoring Team として知られていました。

目的

Arch Security Team の使命は、Arch Linux のセキュリティの向上に貢献することです。

チームの最も重要な任務は、Common Vulnerabilities and Exposure に割り当てられた問題を発見し追跡することです。(CVE)といいます。CVE は公開されており、CVE-YYYY-numberという形のユニークな ID で識別されます。

彼らは ASA (Arch Linux Security Advisory) を発行しており、これは Arch ユーザに配布される Arch 固有の警告です。ASA はピアレビューのために tracker にスケジュールされ、公開される前にチームメンバーから2つの承認が必要です。

Arch Linux security tracker は Arch Security Team がパッケージの追跡、CVE の追加、アドバイザリーテキストの生成に使用しているプラットフォームです。

ノート:
  • Arch Linux Vulnerability Group (AVG) とは、同じ pkgbase 内のパッケージ群に関連する CVEs のグループです。
  • 勧告の対象となるパッケージは core, extra, community, multilib リポジトリの一部です。

貢献する

脆弱性の特定に関与するためには、以下を推奨します。

  • IRC チャンネル #archlinux-security をフォローする。このチャンネルは CVE、影響を受けるパッケージ、最初に修正されたパッケージの バージョンを報告し、議論するための主要なコミュニケーションメディアです。
  • 新しい問題について早期に警告を受けるために、新しい CVE について推奨される #Mailing lists を監視し、必要であれば他の情報源も利用することができます。
  • ボランティアで勧告に目を通し、間違いや質問、コメントを探し、IRC チャンネルで 報告することをお勧めします。
  • メーリングリスト arch-securityoss-security を購読してください。
  • arch-security-tracker (GitHub) プロジェクトにコードをコミットすることは、チームに貢献するための素晴らしい方法です。
  • Arch Linux のパッケージリポジトリに依存している派生ディストリビューションは誰でも貢献することが推奨されます。これはすべてのユーザーのセキュリティに役立ちます。

手順

Arch Linux の公式リポジトリで公開されているソフトウェアにセキュリティ脆弱性が発見された場合の手順は以下の通りです。

情報共有と調査段階

  • Arch Security Team のメンバーに連絡し、チームが問題を認識したことを確認します。
  • 脆弱性を立証するために、CVE レポートを現在のパッケージのバージョン(可能な限りのパッチを含む)と照合し、検索エンジン経由も含め、その問題について可能な限りの情報を収集します。セキュリティ問題を調査するために助けが必要な場合は、IRC チャンネルでアドバイスやサポートを求めてください。

上流の状況とバグレポート

2つの状況が考えられます。

  • 上流が問題を修正した新バージョンをリリースした場合、セキュリティチームメンバーはそのパッケージをアウトオブデートにフラグする必要があります。
    • もしそのパッケージが長い間更新されていないなら、 その脆弱性についてバグレポートを提出すべきです。
    • もしこの問題が重要なセキュリティ問題であれば、パッケージを out-of-date とした後、直ちにバグレポートを提出しなければなりません。
  • 上流のリリースがない場合は、バグ報告に緩和のためのパッチを含めてください。バグレポートには、以下の情報を記載する必要があります。
    • セキュリティ上の問題点とその影響についての説明
    • CVE-ID と(アップストリーム)レポートへのリンク
    • リリースがない場合は、問題を緩和するアップストリームパッチへのリンク(または添付ファイル)。

トラッキングとパブリッシング

以下の作業はチームメンバーで行ってください。

  • チームメンバーは、security tracker に勧告を作成し、追跡用の CVE を追加します。
  • arch-security にアクセスできるチームメンバーが、トラッカーから ASA を生成し、公開します。
ノート: プライベートなバグを報告したい場合は security@archlinux.org. プライベートなバグの報告のアドレスは arch-security ではなく security であることに注意してください。プライベートなバグとは、例えば Arch Linux のインフラストラクチャの脆弱性など、誰もが閲覧・利用できる場所に投稿するにはあまりに機密性の高いバグのことです

リソース

RSS

National Vulnerability Database (NVD)
すべての CVE 脆弱性 : https://nvd.nist.gov/download/nvd-rss.xml
完全に解析されたすべての CVE 脆弱性: https://nvd.nist.gov/download/nvd-rss-analyzed.xml

メーリングリスト

自由なソフトウェアのセキュリティを扱う主要なリストで、多くのCVE帰属がここで起こります。セキュリティニュースを追いたい場合は必須です。
情報: https://oss-security.openwall.org/wiki/mailing-lists/oss-security
購読: oss-security-subscribe(at)lists.openwall.com
アーカイブ: https://www.openwall.com/lists/oss-security/
BugTraq
完全公開のモデレートされたメーリングリスト (メール多めです)
情報: https://www.securityfocus.com/archive/1/description
購読: bugtraq-subscribe(at)securityfocus.com
完全公開されたもう一つの完全開示型メーリングリスト (メール多めです)
情報: https://nmap.org/mailman/listinfo/fulldisclosure
登録: full-disclosure-request(at)seclists.org

LibreOffice、X.org、Puppetlabs、ISC など、特定のパッケージのメーリングリストをフォローすることも検討してみてください。

他のディストリビューション

他のディストリビューションのリソース(CVE、パッチ、コメントなどを探す)。

RedHat と Fedora
アドバイザリーフィード: https://bodhi.fedoraproject.org/rss/updates/?type=security
CVE トラッカー: https://access.redhat.com/security/cve/<CVE-ID>.
バグトラッカー: https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
Ubuntu
アドバイザリーフィード: https://usn.ubuntu.com/usn/atom.xml
CVE トラッカー: https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
データベース: https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
Debian
CVE トラッカー: https://security-tracker.debian.org/tracker/<CVE-ID>/
パッチトラッカー: https://tracker.debian.org/pkg/patch
データベース: https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
OpenSUSE
CVE トラッカー: https://www.suse.com/security/cve/<CVE-ID>/

その他

CVE の Mitre と NVD のリンク
https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>

NVD と Mitre は帰属後すぐに CVE エントリを埋めるとは限らないので、Arch とは必ずしも関係がありません。CVE-ID と "Date Entry Created" フィールドは特に意味を持ちません。CVE は CVE Numbering Authorities (CNA) によって帰属され、各 CNA は必要に応じて Mitre から CVE ブロックを取得するため、CVE ID と帰属日は連動していません。Date Entry Created" フィールドは、多くの場合、CVEブロックがCNAに渡された時を示すだけで、それ以上の意味はないのです。

Linux Weekly News LWN は様々なディストリビューションに対するセキュリティアップデートを毎日お知らせしています。

https://lwn.net/headlines/newrss

もっと見る

その他のリソースについては、OpenWall の Open Source Software Security Wiki を参照してください。

チームメンバー

現在の Arch Security Team メンバーは以下の通りです。

ヒント: phrik がいる任意の IRC チャンネル!pingsec Message to Arch Security Team と入力すると、現在のセキュリティチーム全員がハイライトされます