セキュリティアドバイザリ

提供: ArchWiki
2017年7月13日 (木) 00:11時点におけるKusakata.bot (トーク | 投稿記録)による版 (Pkg/AUR テンプレートの更新)
ナビゲーションに移動 検索に移動

関連記事

セキュリティアドバイザリはコミュニティによって運営されている Arch CVE Monitoring Team によって arch-security メーリングリストで発行されています。公開されたアドバイザリは全て下に記載しています。最新のアドバイザリを受け取りたい時は arch-security を講読することを推奨します。関連する CVE の情報は ACMT によって CVE のページでまとめられています。

計画されているアドバイザリ

最近のアドバイザリ

以下は arch-security メーリングリストに投稿されたセキュリティアドバイザリのアーカイブです。

2016年12月

2016年11月

2016年10月

2016年09月

2016年08月

2016年07月

2016年06月

2016年05月

2016年04月

2016年03月

2016年02月

2016年01月

2015年12月

2015年11月

2015年10月

2015年09月

2015年08月

2015年07月

2015年06月

2015年05月

2015年04月

2015年03月

2015年02月

2015年01月

2014年12月

2014年11月

2014年10月

2014年09月

新しいアドバイザリの公開

アドバイザリを発行する前に該当するパッケージで脆弱性が修正されるのを待機するようにしています。非常に危険性が高い脆弱性の場合、対処方法が存在する場合にのみ、パッケージが修正される前にアドバイザリを発行することがあります。

新しいアドバイザリを公開したいときは、以下をチェックしてください:

  • 該当する Arch Linux パッケージに本当に脆弱性が存在すること。
  • Procedure が完了されていること。
  • まだ問題の脆弱性の Arch Linux セキュリティアドバイザリが公開されていないこと。
  • このページの"計画されているアドバイザリ"のリストに問題の脆弱性のセキュリティアドバイザリが存在しないこと、存在する場合、誰かが既にアドバイザリに手をつけています。
  • パッケージの ouf-of-date フラグか (上流で問題の修正がリリースされている場合)、あるいは bug-tracker のエントリによってパッケージのメンテナに通知されていること (実際の作業はこちらを参照)。

新しいアドバイザリを作成する手順:

  • このページの"計画されているアドバイザリ"のリストに行を追加して、アドバイザリを発行することを予め公知してください。
  • 以下のテンプレートを使ってアドバイザリを記述します。
  • アドバイザリを arch-security メーリングリストに送信します (PGP で署名されたメールの方が好ましいですが、必須ではありません)。
  • 発行したアドバイザリを"計画されているアドバイザリ"から"最近のアドバイザリ"に移動します。
  • 修正されたパッケージを CVE のページに追加して適当な ASA へのリンクを追加してください。

テンプレート

Subject:
[ASA-<YYYYMM-N>] <Package>: <Vulnerability Type>

Body:
Arch Linux Security Advisory ASA-YYYYMM-N
=========================================

Severity: Low, Medium, High, Critical
Date    : YYYY-MM-DD
CVE-ID  : <CVE-ID>
Package : <package>
Type    : <Vulnerability Type>
Remote  : <Yes/No>
Link    : https://wiki.archlinux.org/index.php/CVE

Summary
=======

The package <package> before version <Arch Linux fixed version> is vulnerable to <Vulnerability type>.

Resolution
==========

Upgrade to <Arch Linux fixed version>.

# pacman -Syu "<package>>=<Arch Linux fixed version>"

The problem has been fixed upstream in version <upstream fixed version>.

Workaround
==========

<Is there a way to mitigate this vulnerability without upgrading?>

Description
===========

<Long description, for example from original advisory>.

Impact
======

<
What is it that an attacker can do? Does this need existing
pre-conditions to be exploited (valid credentials, physical access)?
Is this remotely exploitable?
>.

References
==========

<CVE-Link>
<Upstream report>
<Arch Linux Bug-Tracker>

Vim-Snippet

Vim-Snippet は archlinux のテンプレートを簡単に入力するための vim-ultisnips のプラグインです。vim-ultisnips をインストールして以下のテキストを ~/.vim/UltiSnips/all.snippets にコピーしてください。CTRL+j でジャンプできます。

snippet archsec "arch security form"                                                                                   
Arch Linux Security Advisory ASA-`date -I -u | egrep -o '[0-9]{4}'``date -I -u | egrep -o '[0-9]{2}' | sed '3q;d'`-${1}
========================================${1/./=/g}                                                                     

Severity: ${2}                                                                                                         
Date    : `date -I -u`                                                                                                 
CVE-ID  : $3                                                                                                           
Package : $4                                                                                                           
Type    : $5
Remote  : ${6}                                                                                                         
Link    : https://wiki.archlinux.org/index.php/CVE                                                                     
                                                                                                                       
Summary
=======
                                                                                                                       
The package $4 before version $7 is vulnerable to $5 ${8}                                                              
                                                                                                                       
Resolution
==========
                                                                                                                       
Upgrade to $7.
                                                                                                                       
# pacman -Syu "$4>=$7"                                                                                                 
                                                                                                                       
${9:The problems have been fixed upstream in version ${7/-\d+$/./}}                                                    
                                                                                                                       
Workaround
==========                                                                                                             
                                                                                                                       
${10:None.}                                                                                                            

Description                                                                                                            
===========                                                                                                            

${3/(CVE-....-....)(\s?)/- $1(?2: : )()\n\n/g}                                                                         

Impact
======                                                                                                                 

A${6/(Yes)|(No)/(?1: remote )(?2: local )/}attacker is able to ${12}                                                   

References
==========                                                                                                             
                                                                                                                       
${3/(CVE-....-....)(\s?)/https:\/\/access.redhat.com\/security\/cve\/$1\n/g}
${13}
endsnippet