![[NetBSD Logo]](../../images/NetBSD-headerlogo.png)
Sécurité et NetBSD
Le projet NetBSD adopte la même approche sur la sécurité que n'importe système d'exploitation : Des solutions, mais surtout pas de hacks. Les problèmes de sécurité dans NetBSD sont gérés par le directeur de la sécurité de NetBSD et l'équipe des alertes de sécurité de NetBSD. Tout comme la recherche, la documentation et la mise à jour du code en fonction d'un nouveau problème de sécurité signalé, l'équipe procède aussi à des audits de code périodiques afin de rechercher et de supprimer d'éventuels problèmes de sécurité.
NetBSD a intégré Kerberos 5 (Heimdal), SSH (OpenSSH) et un support total du protocole IPsec incluant les protocoles IPv4 et IPv6. De plus, par défaut, tous les services utilisent le plus de paramètres considérés comme sûrs et aucun service n'est activé par défaut à l'installation.
Lorsque de sérieux problèmes de sécurité sont trouvés et corrigés dans NetBSD, nous diffusons un bulletin décrivant le problème et donnant un lien vers le correctif. Ils sont principalement annoncés sur notre liste de diffusion netbsd-announce et aussi sur security-announce . Ils sont largement diffusés et archivés sur ce site et sont fournit notamment dans un fils RSS.
Bulletins récents par versions de NetBSD :
Consultez l'archive pour une liste complète des versions officielles.
- NetBSD-SA2008-015 messages "Packet Too Big" concernant ICMPv6
- NetBSD-SA2008-014 vulnérabilité par requête cross-site forgée dans ftpd(8)
- NetBSD-SA2008-013 vulnérabilité dans le protocole Neighbor Discovery pour IPv6
- NetBSD-SA2008-012 problèmes de denis de service dans racoon(8)
- NetBSD-SA2008-011 problèmes de dénis de service via ICMPv6 MLD
- NetBSD-SA2008-010 problèmes de dénis de service sur des paquets malicieux PPPoE Discovery pouvant entraîner des crashes du noyau
- NetBSD-SA2008-009 problème d'empoisonnement du cache dans BIND
- NetBSD-SA2008-008 problème sur la réduction de Montgomery dans OpenSSL
- NetBSD-SA2008-007 problème multiples dans OpenSSL
- NetBSD-SA2008-006 dépassement d'entier dans la fonction strfmon(3)
- NetBSD-SA2008-005 multiples problèmes sur OpenSSH
- NetBSD-SA2008-004 multiples problèmes dans bzip2(1)
- NetBSD-SA2008-003 dénis de service dans le protocole IPsec pour IPv6
- NetBSD-SA2008-002 problème d'endianness dans fast_ipsec(4)
- NetBSD-SA2008-001 dépassement d'entier dans file(1)
Consultez l'archive des alertes pour une liste complète.
Dans certains cas, un problème de sécurité sera découvert dans NetBSD-current et sera rapidement résolu. Ces problèmes sont souvent de courtes durées et n'auront aucun impact dans les versions officielles de NetBSD. Dans ces cas, nous ne sortons pas de patches ou de bulletins spécifiques à NetBSD-current, mais nous recommendons de mettre à jour une version contenant ces correctifs. Veuillez voir les bulletins au-dessus pour les dates des correctifs. Si un problème de sécurité est identifié et qu'il touche uniquement NetBSD-current, l'équipe de sécurité de NetBSD enverra un email à la liste de diffusion current-users détaillant le problème et ce qu'il faudra mettre à jour si nécessaire. Nous recommandons à tous les utilisateurs qui utilisent NetBSD-current de souscrire à la liste de diffusion current-users afin d'être au courant de ces problèmes. Les utilisateurs traquant NetBSD-current devront avoir leurs systèmes à jour pour avoir de nouvelles nouveautés et également des résolutions de problèmes connus.
Le projet NetBSD a deux points de contact liés à la sécurité :
- La liste de diffusion tech-security est un forum ouvert à la discussion des problèmes de sécurité liés à NetBSD.
- Vous pouvez contacter directement le projet NetBSD à propos des problèmes
de sécurité en envoyant un email à
<security-alert@NetBSD.org>.
Pour signaler un problème de sécurité dans NetBSD, vous pouvez, au choix, contacter l'équipe
<security-alert@NetBSD.org> ou envoyer un rapport standard NetBSD en
utilisant le formulaire send-pr ou le programme
send-pr(1) présent sur votre système NetBSD.
Les informations sensibles peuvent être chiffrées avec PGP en utilisant la clef PGP du directeur de la sécurité de NetBSD.
Tous les patches de sécurité publiés de NetBSD sont disponibles sur le serveur FTP du projet NetBSD dans le dossier security/patches/ .
La collection de paquets NetBSD fournit une installation simplifiée sous formes de binaires et de code source d'un grand nombre d'applications tierces. Les utilisateurs doivent accepter que les logiciels tiers peuvent contenir des bogues et que certains de ces bogues peuvent mener à une machine vulnérable. Pour paré à ceci, NetBSD fournit une méthode simple d'auditer vos paquets déjà installés sur des vulnérabilités connues.
L'équipe sécurité de pkgsrc et les mainteneurs de paquet gardent une liste des vulnérabilités connues dans les paquets qui sont (ou ont été) inclus dans pkgsrc. La liste est disponible depuis le site FTP de NetBSD à l'adresse suivante :
A travers audit-packages, cette liste peut être téléchargée automatiquement, et un audit de sécurité de tous les paquets installés sur un système peut alors s'établir.
audit-packages est composée de deux parties. La première, download-vulnerability-list, consiste à télécharger la liste des vulnérabilités située sur le site FTP de NetBSD. La seconde, audit-packages, vérifie les vulnérabilités des paquets installés. Si un paquet est considéré comme vulnérable, vous devrez recevoir un message similaire :
Package samba-2.0.9 has a local-root-shell vulnerability, see http://www.samba.org/samba/whatsnew/macroexploit.html
Les utilisateurs pourront ainsi installer audit-packages pour télécharger le fichier journalier pkg-vulnerabilities , et permettre l'audit d'un paquet dans le script de sécurité journalier. Plus détails situés dans le fichier MESSAGE de pkg_install.
Si vous pensez que vous avez trouvé un problème de sécurité sur un paquet ou un logiciel dans pkgsrc et qu'il n'est pas détecté par audit-packages, alors veuillez contacter l'équipe sécurité de pkgsrc.
En avril 2007, cette fonctionnalité fournit par le paquet security/audit-packages été écrit en C et a été introduite dans le paquet pkg_install . Ceci dans le but d'apporter un nombre d'améliorations en termes de rapidité et de fonctionnalité lorsque l'on compare à l'ancien paquet security/audit-packages. En janvier 2008, le paquet security/audit-packages a été enlevé de l'arborescence CVS de pkgsrc et le version demandée du paquet pkg_install est passée à la version pkg_install-20071224, laquelle inclus les possibilités de l'ancien paquet security/audit-packages. Le processus de migration devrait être simple pour la plupart des utilisateurs et invoque simplement l'enlèvement de l'ancien paquet (par exemple pkg_delete audit-packages) et ensuite la mise à jour de pkg_install. En plus de cela, tous les scripts, comme par exemple crontab(5), security.local, etc., qui feront référence aux anciens fichiers binaires (audit-packages et download-vulnerability-list) demanderont également une mise à jour.
Si vous ne pouvez pas migrer immédiatement vers la version pkg_install-20071224 et que vous avez besoin de continuer l'utilisation de security/audit-packages pour les vulnérabilités de paquet, l'équipe sécurité de pkgsrc continuera de garder à jour la base de donnée pkg-vulnerabilities au moins jusqu'à la branche pkgsrc-2008Q1. Lorsque le support de security/audit-packages sera totalement enlevé, nous metterons à jour l'ancienne base de donnée pkg-vulnerabilities pour indiquer qu'elle ne sera plus mise à jour. Vous devrez donc poursuivre la mise à jour de pkg_install>=20071224 de sorte à recevoir les futures mises à jour de la base de donnée pkg-vulnerabilities.
Pour toutes questions ou tous problèmes avec ce processus, veuillez contacter soit l' équipe sécurité de pkgsrc, soit la liste de diffusion appropriée (par exemple pkgsrc-users ou tech-pkg).
Une quantité de bulletins de sécurité et d'autres ressouces de sécurité sont disponibles en ligne sur ces sites :