Boa Noite, correção em anexo.
Obrigado. -------------- Wagner Marcuci On Sat, 2020-05-16 at 16:40 -0300, Wagner Marcuci wrote: > Boa Tarde, > > estarei atualizando a página acima em Outdated translations. > > https://www.debian.org/devel/website/stats/pt#outdated > > Obrigado. > > -------------- > Wagner Marcuci > >
diff --git a/portuguese/security/faq.wml b/portuguese/security/faq.wml index 8d7e69846eb..e2a80e361d2 100644 --- a/portuguese/security/faq.wml +++ b/portuguese/security/faq.wml @@ -1,5 +1,5 @@ #use wml::debian::template title="FAQ de Segurança Debian" -#use wml::debian::translation-check translation="eb8bddb240089bdcf690ddd74297f6358992eb1e" translation_maintainer="Felipe Augusto van de Wiel (faw)" +#use wml::debian::translation-check translation="6e1fa2e1aabb151dc8ce2445ee60cc40675fb927" translation_maintainer="Felipe Augusto van de Wiel (faw)" #include "$(ENGLISHDIR)/security/faq.inc" <p>Nós recebemos as seguintes perguntas frequentemente, então suas respostas @@ -7,363 +7,381 @@ estão resumidas aqui.</p> <maketoc> -<toc-add-entry name=signature>Não consegui verificar corretamente a assinatura em seus alertas!</toc-add-entry> -<p>R: Provavelmente você está fazendo algo errado. A lista - <a href="https://lists.debian.org/debian-security-announce/";>\ - debian-security-announce</a> possui um filtro que só permite que mensagens - com a assinatura correta de um dos membros do time de segurança sejam - postadas.</p> - -<p>Provavelmente, seu software de e-mail está alterando sutilmente - a mensagem, o que invalida a assinatura. Certifique-se de que seu - programa não faça codificação ou decodificação MIME, assim como - conversões de tabulação/espaços.</p> - -<p>Alguns softwares que fazem isso são o fetchmail (com a opção mimedecode - habilitada), o formail (do procmail versão 3.14) e o evolution.</p> - -<toc-add-entry name=handling>Como o Debian lida com a segurança?</toc-add-entry> -<p>R: Assim que o Time de Segurança recebe uma notificação sobre um - incidente, um ou mais membros revisam e avaliam seu impacto sobre - a versão estável do Debian (ou seja, se ela é vulnerável ou não). Se nosso - sistema é vulnerável, nós trabalhamos em uma correção para o problema. - O mantenedor do pacote é contatado também, se ele já não contatou - o Time de Segurança. Finalmente, a correção é testada e novos pacotes - são preparados, compilados em todas as arquiteturas da versão estável e - é feito o envio dos mesmos. Depois de tudo isso, um alerta é publicado. -</p> +<toc-add-entry name=buthow>Eu recebi a SPF via debian-security-announce, como eu atualiza vulnerabilidades no pacote?</toc-add-entry> + +<p>R: Como SPF diz, você deveria atualizar o pacote em questão através + da vulnerabilidade anunciada. Você pode fazer isto atualizando (depois de + atualiza a lista de pacotes vulneráveis com <tt>apt-get update</tt>) + cada pacote no sistema com <tt>apt-get upgrade</tt> ou pela atualização + somente daquele pacote, com <tt>apt-get install + <i>package</i></tt>.</p> + +<p>Vários emails informam que o próprio pacote mencionada qual vulnerabilidade está + presente. Portando, você deverá atualizar todos os binários deste pacote. + Para verificar quais binários do pacote devem ser atualizados, visite + <tt>https://packages.debian.org/src:<i>source-package-name</i></tt> e + clique emn <i>[show ... binary packages]</i> para distribuição que você + está atualizando.</p> + +<p>Talvez seja necessário reiniciar o sistema ou serviço afetado. O + comando <a href="https://manpages.debian.org/checkrestart";><tt>checkrestart</tt></a> + incluído no pacote + <a href="https://packages.debian.org/debian-goodies";>debian-goodies</a> + pode ajudar a encontrá-los.</p> -<toc-add-entry name=oldversion>Por que vocês insistem em uma versão antiga -de determinado pacote?</toc-add-entry> - -<p>R: A regra mais importante quando está se fazendo um novo pacote que corrige - problemas de segurança é fazer o menor número possível de alterações. Nossos - usuários e desenvolvedores estão confiando no comportamento correto de uma - versão, uma vez que ela é lançada, então qualquer mudança que fazemos tem o - potencial de quebrar o sistema de alguém. Isso é verdade especialmente no - caso de bibliotecas: certifique-se de nunca modificar a Application Program - Interface (API) ou Application Binary Interface (ABI), não importa quão - pequena seja essa alteração.</p> - -<p>Isso significa que mudar para a nova versão do autor não é uma boa - solução, em vez disso, as alterações relevantes devem ser adaptadas à versão - antiga. Geralmente os autores dessas novas versões se dispõem a ajudar se for - preciso, se não, o Time de Segurança do Debian pode estar disponível para - ajudar.</p> - -<p>Em alguns casos não é possível adaptar a versão antiga a uma correção de - segurança, por exemplo quando uma grande quantidade de código fonte precisa - ser modificada ou rescrita. Se isto acontecer pode ser necessário mudar - para a nova versão do autor, mas isso deve ser coordenado antecipadamente - com o Time de Segurança.</p> - -<toc-add-entry name=policy>Qual é a política usada para que pacotes corrigidos - apareçam no security.debian.org?</toc-add-entry> - -<p>R: Erros de segurança na distribuição estável garantem a aparição - de um pacote no security.debian.org. Nada mais. O tamanho - do erro não é o problema real aqui. Normalmente, o Time de Segurança - irá preparar pacotes juntamente com o mantenedor do pacote. Desde que - alguém (confiável) investigue o problema e construa os pacotes necessários - e os envie ao Time de Segurança, mesmo problemas de segurança triviais - irão entrar no security.debian.org. Por favor, veja abaixo.</p> - -<p>Atualizações de segurança têm um único propósito: fornecer uma correção para - uma vulnerabilidade relacionada à segurança. Elas não são um método para - enviar mudanças adicionais à versão estável sem realizar o procedimento de - lançamento normal.</p> - -<toc-add-entry name=localremote>O que significa <q>local (remote)</q>?</toc-add-entry> -<p>R: Alguns alertas tratam de vulnerabilidades que não podem ser identificadas - usando o esquema clássico de explorações locais ou remotas. Algumas - vulnerabilidades não podem ser exploradas remotamente, ou seja, não - correspondem a um <em>daemon</em> associado a uma porta de rede. - Nos casos em que é possível explorá-las através de arquivos especiais - que possam estar disponíveis via rede enquanto o serviço - vulnerável não se encontra conectado permanentemente com a rede, - nós utilizamos <q>local (remote)</q>. - -<p>Essas vulnerabilidades estão entre as vulnerabilidades locais e - as remotas, e muitas vezes dizem respeito a arquivos que poderiam ser - disponibilizados através da rede, como um anexo de correio eletrônico - ou por uma página de download.</p> - -<toc-add-entry name=version>O número de versão de um pacote indica que eu ainda - estou executando uma versão vulnerável!</toc-add-entry> -<p>R: Ao invés de atualizar para uma versão nova nós adaptamos correções - de segurança das versões mais novas para a versão lançada com a distribuição - estável. A razão para que façamos isto é certificar-nos de que uma - distribuição mude o mínimo possível, de forma que nada quebre ou mude - inesperadamente, como consequência de uma correção de segurança. Você pode - checar se está executando uma versão segura de um pacote verificando o seu - registro de mudanças, ou comparando o número exato da versão com a versão - indicada no Alerta de Segurança Debian.</p> - -<toc-add-entry name=unstable>Como a segurança é feita na <tt>unstable</tt>?</toc-add-entry> -<p>R: A resposta curta é: não é feita. A <q>unstable</q> é uma alvo móvel - rápido e o time de segurança não tem os recursos necessários para suportá-la - apropriadamente. Se você quer ter um servidor seguro (e estável) você - é fortemente encorajado a fica com a <q>stable</q>.</p> - -<toc-add-entry name=testing>Como a segurança é feita na <tt>testing</tt>?</toc-add-entry> -<p>R: Se você quer ter um servidor seguro (e estável) você é fortemente - encorajado a ficar com a <q>stable</q>. No entanto, há suporte - de segurança para a <q>testing</q>: O time de segurança da - <q>testing</q> do Debian lida com problemas para a - <q>testing</q>. Eles vão assegurar que os pacotes corrigidos entrem - na <q>testing</q> na forma usual através da migração a partir da - <q>unstable</q> (com tempo de quarentena reduzido), ou, se isto levar - muito tempo, torná-los disponível através da infra-estrutura normal em <a - href="http://security.debian.org";>http://security.debian.org</a>. - Para usá-la, tenha certeza de ter a seguinte linha em seu - <code>/etc/apt/sources.list</code>:</p> - <p><code>deb http://security.debian.org testing/updates main</code></p> - <p>e execute <code>apt-get update && apt-get upgrade</code> - como de costume.</p> - <p>Note que isso não garante que todos os bugs de segurança conhecidos são - corrigidos na <q>testing</q>! Alguns pacotes atualizados podem estar - aguardando a transição para a <q>testing</q>. Mais informação sobre a - infraestrutura de segurança para a <q>testing</q> pode ser encontrada em <a - href="http://secure-testing-master.debian.net/";>\ - http://secure-testing-master.debian.net/</a>.</p> - -<toc-add-entry name=contrib>Como a segurança é feita para o <tt><q>contrib</q></tt> e <tt><q>non-free</q></tt>?</toc-add-entry> - -<p>A: A resposta curta é: não é feita. A <q>contrib</q> e <q>non-free</q> não - fazem parte oficialmente da Distribuição Debian e não são lançadas, por - isso não são suportadas pelo Time de Segurança. Alguns pacotes <q>non-free</q> - são distribuídos sem o código fonte ou com uma licença que não permite a - distribuição de versões modificadas. Nesses casos, nenhuma correção de - segurança pode ser feita. Se for possível corrigir o problema, e o - mantenedor do pacote ou alguma outra pessoa fornecer pacotes corrigidos, - o Time de Segurança geralmente irá processá-los e publicar um alerta.</p> - -<toc-add-entry name=sidversionisold>O alerta diz que a instável (<q>unstable</q>) foi corrigida na versão 1.2.3-1, mas a instável (<q>unstable</q>) contém a -1.2.5-1, o que aconteceu?</toc-add-entry> - -<p>A: Nós tentamos listas a primeira versão na instável (<q>unstable</q>) que - corrigiu o problemas. Algumas vezes o mantenedor enviou versões mais novas - neste meio tempo. Compare a versão na instável (<q>unstable</q>) com a - versão que nós indicamos. Se for a mesma ou maior, você deverá estar seguro - com relação a esta vulnerabilidade.</p> - - -<toc-add-entry name=mirror>Por que não há espelhos oficiais de security.debian.org?</toc-add-entry> - - -<p>R: Na verdade, há. Há vários espelhos oficiais, implementados através de -apelidos DNS (<q>DNS aliases</q>). O propósito de security.debian.org é tornar -atualizações de segurança disponíveis da maneira mais rápida e fácil possível. -</p> - <p>Encorajar o uso de espelhos não-oficiais poderá causar uma complexidade - extra desnecessária e a frustração de encontrar um desses espelhos - desatualizados.</p> - -<toc-add-entry name=missing>Vi o DSA 100 e o DSA 102, agora, onde está o DSA 101?</toc-add-entry> -<p>R: Vários distribuidores (a maioria deles de GNU/Linux, mas também - de variações do BSD) coordenam alertas de segurança para alguns - incidentes e concordam com uma determinada linha de tempo para - que todos os distribuidores possam lançar um aviso ao mesmo tempo. - Isso foi decidido para que não haja discriminação com alguns distribuidores - que precisam de mais tempo (por exemplo, quando o distribuidor tem de - passar os pacotes por longos testes de controle de qualidade - ou suporta diversas arquiteturas ou distribuições binárias). - Nosso Time de Segurança também prepara avisos com antecedência. - Dependendo da situação, outros problemas de segurança têm de ser - trabalhados antes do aviso "estacionado" ser lançado, e isso - causa a lacuna na numeração dos avisos. +<toc-add-entry name=signature>A assinatura nos seus avisos não é verificada corretamente!</toc-add-entry> +<p>R: É mais provável que seja um problema do seu lado. A lista + <a href="https://lists.debian.org/debian-security-announce/";>\ + debian-security-announce</a> + tem um filtro que somente permite assinaturas corretas + vindas do time de segurança que as envia.</p> + +<p>É mais provável que o seu email esteja com problemas como quebrando + a linha da assinatura. Tenha certeza que seu software não faça codificação + ou decodifição das mensagens MIME, ou conversões da tecla tab ou espaço.</p> + +<p>Problemas relatados no fetchmail (opção mimedecode ativada), + formail (somente versão procmail 3.14 ) e posteriores.</p> + +<toc-add-entry name="handling">Como um problema de segurança no Debian é tratado?</toc-add-entry> +<p>R: Uma vez que o time de segurança recebe a notificação do incidente, + um ou mais membros verificam qual o impacto na versão estável + do Debian ( i.e. se é uma vulnerabilidade ou não ). + Se for uma vulnerabilidade, trabalharão para consertar o + problema. O mantenedor do pacote será contatado, se já não + tiver sido, pelo time de segurança. Finalmente, a correção é testada e + novos pacote serão preparados, na qual será compilada em toda arquitetura + da versão estável e posteriormente atualizada. Depois de tudo isso, + um aviso será publicado.</p> + +<toc-add-entry name=oldversion>Porque você utiliza a versão antiga dos pacotes?</toc-add-entry> + +<p>A orientação mais importante quando fazemos novos pacotes com correções de + um problema de segurança é fazer o mínimo de alterações possíveis. Nossos usuários e + desenvolvedores contam com o comportamento exato de uma versão uma vez que + é feita, para que nenhuma alteração possa quebrar o sistema de alguém. + Isto é especialmente verdade no caso de bibliotecas: tenha certeza que a alteração + nunca altere Application Program Interface (API) ou Application Binary Interface (ABI), + não importa quão pequena seja</p> + +<p>Isto significa que atualizar para uma nova versão nem sempre é recomendável, + ao invés disso, as alterações importantes devem ser consideradas. Geralmente + os mantenedores estão dispostos a ajudar, se o time de segurança do Debian + não está disponível.</p> + +<p>Em alguns casos não será possível corrigir imediatamente o problema de segurança, pois + envolve uma quantidade muito grande código a ser modificado ou reescrito. Se isto acontecer + será necessário mover a correção para próxima versão, mas isto + será coordenada pelo time de segurança antecipadamente.</p> + +<toc-add-entry name=version>O número da versão do pacote indica que a vulnerabilidade ainda existe!</toc-add-entry> +<p>R: Ao invés de atualizar para uma nova versão nós corrigimos o problema de segurança e enviamos + para versão estável. A razão para isso é para termos certeza que a versão alterada + terá o mínimo de alterações possíveis para não causar mais problemas devido a correção + correção de segurança. Você pode verificar se está executando a versão segura + do pacote olhando o arquivo changelog, ou comparando-a com a exata versão + indicada no Debian Security Advisory.</p> + +<toc-add-entry name=archismissing>Eu recebi um aviso, mas parece que a versão para minha arquitetura está faltando.</toc-add-entry> +<p>R: Geralmente o Time de Segurança manda um aviso com os pacotes a serem atualizados + para todas as arquiteturas suportados pelo Debian. Entretanto, algumas arquiteturas + são mais demoradas que outras para geração dos pacotes o que causa demora na sua + disponibilização. Isto representa uma pequena fração de nossa base de usuários. + Dependendo da urgência do problema podemos decidir divulgar o comunicado + imediatante. As versões faltando podem ser instaladas tão rapidamente possível + serão disponibilizadas, mas nenhum aviso adicional será enviado. + É claro que nunca mandaremos um aviso para i386 ou amd64 + se não estão presentes neles.</p> + +<toc-add-entry name=unstable>Como a segurança é tratada para <tt>unstable</tt>?</toc-add-entry> +<p>R: Segurança para unstable é geralmente tratada pelo mantenedor do pacote, não + pelo Time de Segurança. Embora o time de segurança possa fazer correções de urgência + quando o mantenedor do pacote não está disponível, o suporte á versão + stable sempre terá prioridade. + Se você quer manter a segurança (e estabilidade) no seu servidor, insistimos + que fique com a versão stable.</p> + +<toc-add-entry name=testing>Como a segurança é trata para <tt>testing</tt>?</toc-add-entry> +<p>R: A segurança do testing se beneficia dos esforços da todo projeto para + unstable. Entretanto, há no mínimo dois dias de demora, + e algumas correções de segurança são mantidadas nesta transição. O Time de + Segurança ajuda na movimentação desta transição que contem importantes + atualizações de segurança, mas não é sempre que o atraso ocorre. + Especialmente em meses depois de uma nova versão stable, quando muitas versões + são transferidas para unstable, a correção para testes pode demorar. + Se você quer manter a segurança (e estabilidade) no seu servidor, insistimos + que fique com a versão stable.</p> + +<toc-add-entry name=contrib>Como é tratada a segurança para <tt>contrib</tt> e + <tt>non-free</tt>?</toc-add-entry> +<p>R: Resposta curta: não é. Contrib e non-free não são partes + oficias da Distribuição Debian e não são versionadas, e também não + são suportadas pelo time de segurança. Alguns pacotes não-livres são distribuídos + sem código fonte ou sem licença permitindo distribuição ou modificação da versão. + Nesses casos, nenhuma correção de segurança pode ser feita. Se é possível + consertar o problema, e o mantenedor do pacote ou alguém conseguir + corrigir o pacote, então o time de segurança irá processá-lo + e enviar aviso.</p> + +<toc-add-entry name=sidversionisold>O aviso informa que unstable está corrigido na + versão 1.2.3-1, mas unstable usa 1.2.5-1, o que acontece?</toc-add-entry> +<p>R: Nós tentamos informar a primeira versão que corrigiu o problema. + Algumas vezes o mantenedor atualizaou a versão mais nova nesse meio tempo. + Compare a versão do unstable com a versão indicada. Se ela é a mesma + ou maior, você pode checar o changelog do pacote com <tt>apt-get changelog + nome-do-pacote</tt> e olhar as correções realizadas.</p> + +<toc-add-entry name=mirror>Porque não há repositórios oficiais para security.debian.org?</toc-add-entry> +<p>R: Atualmente, há. Há vários repositórios oficiais, implementados + através de outros DNS. O objetivo de security.debian.org é tornar segura as + atualizações disponíveis do modo mais rápido possível.</p> + +<p>Incentivar o uso de espelhos não oficiais acrescentaria complexidade extra + o que geralmente não é ncessário e pode causar frustações se algum + repositório não se mantiver atualizado.</p> + +<toc-add-entry name=missing>Eu tinha visto SPF 100 e SPF 102, onde está SPF DSA 101?</toc-add-entry> +<p>R: Vários fornecedores (a maioria GNU/Linux, mas também derivados do BSD) que + coordenam avisos de segurança para alguns incidentes e + concordam com uma linha de tempo para alguns incidentes + e avisos sobre versão ao mesmo tempo. Isto foi decidido em conjunto + para não discriminar alguns fornecedores que precisam de mais tempo + (i.e. quando o fornecedor não passou os pacotes para o testes QA ou + não suporta algumas arquiteturas ou distribuição de binários). Da parte + do nosso time de segurança são preparados alguns avisos. De vez enquando + outros problemas de segurança são tratados antes do aviso sobre + aquela versão ser mandado, e consequentemente deixando de fora + um ou mais avisos por número. </p> -<toc-add-entry name=contact>Como posso entrar em contato com o Time de Segurança?</toc-add-entry> +<toc-add-entry name=contact>Como eu posso contatar o time de segurança?</toc-add-entry> -<p>R: Informações de segurança podem ser enviadas para secur...@debian.org ou - t...@security.debian.org, ambos são lidos pelos membros do Time de - Segurança. +<p>R: Informações sobre segurança pode ser mandados para secur...@debian.org our + t...@security.debian.org, ambos serão lidos pelo time + de segurança. </p> -<p>Caso deseje, a mensagem pode ser criptografada com a chave do - Contato de Segurança Debian (o ID da chave é <a +<p>Se desejar, o email pode ser criptografado com o Debian Security + Contact key (key ID <a href="http://pgp.surfnet.nl/pks/lookup?op=vindex&search=0x0D59D2B15144766A14D241C66BAF400B05C3E651";>\ - 0x0D59D2B15144766A14D241C66BAF400B05C3E651</a>). Para as chaves PGP/GPG de cada um dos membros do time, por - favor, consulte o servidor de chaves - <a href="https://keyring.debian.org/";>keyring.debian.org</a>. + 0x0D59D2B15144766A14D241C66BAF400B05C3E651</a>). Para chaves PGP/GPG individuais dos membros do time, por favor + vá para servidor de chaves + <a href="https://keyring.debian.org/";>keyring.debian.org</a> +</p> <toc-add-entry name=discover>Eu acho que encontrei um problema de segurança, o que devo fazer?</toc-add-entry> -<p>R: Se você descobrir um problema de segurança, tanto em um dos seus pacotes - ou de outro desenvolvedor, por favor, entre em contato com o Time de - Segurança. Se o Time de Segurança do Debian confirmar a vulnerabilidade e - outros distribuidores também estiverem vulneráveis, eles geralmente contatam - estes outros distribuidores. Se a vulnerabilidade ainda não é pública eles - tentam coordenar os alertas de segurança com os dos outros distribuidores - para que todas as principais distribuições fiquem sincronizadas.</p> - -<p>Se a vulnerabilidade já tiver sido divulgada publicamente, certifique-se - de preencher um relatório de bug no Debian BTS e marcá-lo como - <q>security</q>.</p> - -<p>Se você é um mantenedor Debian, <a href="#care">veja abaixo</a>.</p> - -<toc-add-entry name=care>O que eu devo fazer com um problema de segurança - em um dos meus pacotes?</toc-add-entry> - -<p>R: Se você souber de algum problema de segurança, seja no seu pacote ou - no de outra pessoa, por favor, não deixe de entrar em contato com o Time de - Segurança. Você pode se comunicar com eles através do e-mail - t...@security.debian.org. Eles mantêm um relatório do andamento dos - problemas de segurança, podem ajudar mantenedores com problemas de segurança - ou até mesmo consertar eles mesmos estes problemas, são responsáveis por - mandar os alertas de segurança e mantêm o security.debian.org.</p> - -<p>O documento <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\ - Developer's Reference (Referência para Desenvolvedores)</a> tem instruções - completas do que fazer.</p> - -<p>É particularmente importante que você não faça o upload para nenhuma outra - distribuição além da instável (<q>unstable</q>) sem antes conversar com o - Time de Segurança, pois isso pode causar confusão e mais trabalho.</p> - -<toc-add-entry name=enofile>Eu tentei baixar um pacote listado em um dos alertas de segurança, mas recebo um erro do tipo 'arquivo não encontrado'.</toc-add-entry> - -<p>R: Quando algum pacote que leva uma correção de bug substitui um pacote - antigo em security.debian.org, as chances de que o antigo seja removido - assim que o outro entrar são altas. Portanto, você irá - receber o erro 'arquivo não encontrado'. Nós não queremos distribuir - pacotes com erros de segurança conhecidos por um período de tempo maior - do que o estritamente necessário.</p> - -<p>Por favor use os pacotes dos últimos alertas de segurança, que - são distribuídos através da lista de discussão <a - href="https://lists.debian.org/debian-security-announce/";>\ - debian-security-announce</a>. É melhor simplesmente executar - <code>apt-get update</code> antes de atualizar o pacote.</p> - -<toc-add-entry name=upload>Eu tenho uma correção de bug. Posso enviar para - security.debian.org diretamente?</toc-add-entry> - -<p>R: Não, você não pode. O repositório em security.debian.org é mantido - pelo Time de Segurança, que deve aprovar todos os pacotes. Em vez disso, - você pode enviar patches ou pacotes-fonte apropriados para o Time de - Segurança pelo e-mail t...@security.debian.org. Eles serão revisados pelo - Time de Segurança e eventualmente enviados ao repositório, com ou sem - modificações.</p> - -<p>Se você não está acostumado com uploads de segurança e não tem - 100% de certeza que seu pacote está correto, por favor use esta - maneira e não envie para o diretório <q>incoming</q>. O Time de Segurança - não tem muitas opções para lidar com pacotes quebrados, especialmente - se eles não usam uma versão correta. Os pacotes atualmente não podem - ser rejeitados e o <abbr title="Build Daemon - Daemon de construção">\ - buildd</abbr> poderia ficar confuso se isto fosse - possível. Então, por favor use o e-mail e ajude evitando colocar mais - peso para o Time de Segurança.</p> - -<p>O manual <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\ - Developer's Reference (Referências para Desenvolvedores)</a> tem instruções - completas do que fazer.</p> - -<toc-add-entry name=ppu>Eu tenho uma correção de bug. Posso enviar para o - <q>proposed-updates</q> diretamente?</toc-add-entry> - -<p>A: Tecnicamente falando, você pode. No entanto, você não deve fazê-lo, - uma vez que isso interfere no trabalho do Time de Segurança. - Pacotes do security.debian.org serão copiados para o diretório - <q>proposed-updates</q> automaticamente. Se um pacote com o mesmo número - de versão ou com um número mais alto já se encontra no arquivo, a atualização - de segurança será rejeitada pelo sistema de arquivamento. Dessa forma, a - distribuição estável ficará sem uma atualização de segurança para este - pacote, a menos que o pacote <q>errado</q> do diretório - <q>proposed-updates</q> seja - rejeitado. Por favor, em vez disso, contate o Time de Segurança, inclua - todos os detalhes da vulnerabilidade e anexe os arquivos fontes (por - exemplo, diff.gz e arquivos dsc) em seu e-mail.</p> - -<p>O manual <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\ - Developer's Reference (Referências para Desenvolvedores)</a> tem instruções completas do que fazer.</p> - -<toc-add-entry name=SecurityUploadQueue>Eu tenho certeza que meus pacotes estão corretos, como posso enviá-los?</toc-add-entry> - -<p>R: Se você tem absoluta certeza que seus pacotes não irão quebrar alguma - coisa, que a versão está correta (exemplo: maior do que a versão na - <q>stable</q> e menor do que a versão na <q>testing/unstable</q>), que - você não alterou o - comportamento do pacote, apesar do problema de segurança correspondente, que - você compilou ele para a distribuição correta (que é a - <code>oldstable-security</code> ou <code>stable-security</code>), que contém - o código fonte original se o pacote for novo no security.debian.org, que - você pode confirmar que o patch da versão mais recente é claro e somente - foi modificada a parte relacionada com o problema de segurança - correspondente (verifique com <code>interdiff -z</code> e ambos arquivos - <code>.diff.gz</code>), que você tenha revisado o patch pelo menos três - vezes, e que o <code>debdiff</code> não tenha mostrado nenhuma mudança, você - pode enviar diretamente os arquivos para o diretório <q>incoming</q> - <code>ftp://ftp.security.upload.debian.org/pub/SecurityUploadQueue</code> em - security.debian.org. Por favor, envie também uma notificação com todos - os detalhes e links para o e-mail t...@security.debian.org.</p> +<p>R: Se você achou um problema de segurança em um de nossos pacotes + ou de alguém mais, por favor sempre contate o time de segurança. Se + o time de segurança do Debian confirmar a vulnerabilidade e que outro fornecedor + possa ser vulnerábel também, eles geralmnte contatam estes fornecedores. + Se a vulnerabilidade ainda não é pública eles irão coordenar juntos + avisos de segurança com outros fornecedores, em todas as principais + distribuições sincronizadas.</p> + +<p>Se a vulnerabilidade já é pública, tenha certeza de registrar o problema em + Debian BTS, e marcá-la como <q>security</q>.</p> + +<p>Se você é mantenedor Debian, <a href="#care">veja abaixo</a>.</p> + +<toc-add-entry name=care>O que se espera que eu faça com um problema de segurança no +meu pacote?</toc-add-entry> + +<p>R: Se você conhece o problema de segurança, em seu pacote + ou de alguém mais, por favor sempre contate o time de segurança via email + em t...@security.debian.org. Eles acompanharam os + problemas de segurança pendentes, podendo ajudar mantenedores com + problemas ou corrigir problemas por conta própria pois são responsáveis por + avisos de segurança e manter + security.debian.org.</p> + +<p>The <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\ + Referência de Desenvolvedores</a> tem as informações mais completas do que fazer.</p> + +<p>Isto é particularmente importante que você não suba nenhuma + distribuição a não ser unstable sem o consentimento do time + de segurança, passando por cima deles causa confusão e + mais trabalho.</p> + +<toc-add-entry name=enofile>Eu tentei baixar um pacote da lista de avisos de segurança, mas informou erro +'arquivo não encontrado'.</toc-add-entry> + +<p>R: Sempre que uma correção de bug mais recente substitui um pacote mais antigo no + security.debian.org, são grandes as chances de o pacote antigo ser + removido quando o novo for instalado. Portanto, você terá + este erro "arquivo não encontrado". Não queremos distribuir pacotes + com erros de segurança conhecidos por mais tempo do que o absolutamente necessário. </p> + +<p> Use os pacotes dos últimos avisos de segurança, que são + distribuído através do <a + href = "https://lists.debian.org/debian-security-announce/";> \ + lista de discussão debian-security-Announce </a>. É melhor simplesmente correr + <code> apt-get update </code> antes de atualizar o pacote. </p> + +<toc-add-entry name=upload>Eu tenho uma correção de bug, posso fazer o upload para security.debian.org diretamente?</toc-add-entry> + +<p> R: Não, você não pode. O arquivo em security.debian.org é mantido + pela equipe de segurança, que precisa aprovar todos os pacotes. Você deve + em vez disso, envie patches ou pacotes de origem adequados para a equipe de segurança + via t...@security.debian.org. Eles serão + revisados pela equipe de segurança e, eventualmente, enviados, com + ou sem modificações. </p> + +<p>O <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\ + Referência de Desenvolvedores</a> possui instruções completas sobre o que fazer.</p> + +<toc-add-entry name=ppu>Eu tenho uma correção de erro. Posso subir as atualizações propostas?</toc-add-entry> + +<p> R: Tecnicamente falando, você pode. No entanto, você não deve fazer isso, + pois isso interfere muito no trabalho da equipe de segurança. + Os pacotes do security.debian.org serão copiados para o diretório + diretório de atualizações propostas automaticamente. Se um pacote com o + número de versão igual ou superior já está instalado no + archive, a atualização de segurança será rejeitada pelo archive + sistema. Dessa forma, a distribuição estável terminará sem um + atualização de segurança para este pacote, a menos que <q>wrong</q> + pacotes no diretório de atualizações propostas foram rejeitados. Entre em contato com o + equipe de segurança e inclua todos os detalhes da vulnerabilidade + e anexe os arquivos de origem (ou seja, arquivos diff.gz e dsc) ao seu e-mail. </p> + +<p>O <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\ + Referência de Desenvolvedores</a> possui instruções completas sobre o que fazer.</p> + +<toc-add-entry name=SecurityUploadQueue>Tenho certeza de que meus pacotes estão bem, + como posso carregá-los?</toc-add-entry> + +<p> R: Se você tiver certeza de que seus pacotes não quebram nada, que o + versão é sã (ou seja, maior que a versão estável e menor que a + versão no testing/unstable), que você não alterou o comportamento do + pacote, apesar do problema de segurança correspondente, que você o compilou + para a distribuição correta (ou seja, <code> oldstable-security </code> ou + <code> stable-security </code>), que o pacote contém o original + fonte se o pacote for novo no security.debian.org, que você pode confirmar + o patch contra a versão mais recente é limpo e apenas toca o + problema de segurança correspondente (verifique com <code> interdiff -z </code> e + arquivos <code> .diff.gz </code>), que você revisou o patch em + menos três vezes e que <code> debdiff </code> não exiba nenhuma alteração, + você pode carregar os arquivos no diretório de entrada + <code> ftp://ftp.security.upload.debian.org/pub/SecurityUploadQueue </code> no + security.debian.org diretamente. Envie uma notificação com todos os detalhes + e links para t...@security.debian.org também. </p> <toc-add-entry name=help>Como posso ajudar com a segurança?</toc-add-entry> -<p>R: Por favor, reveja cada problema antes de informá-lo ao - secur...@debian.org. Se você for capaz de fornecer patches, - isto aumentaria a velocidade do processo. Não encaminhe - e-mails do bugtraq, simplesmente, porque nós já os recebemos - — mas nos forneça informações adicionais sobre - o que foi relatado no bugtraq.</p> - - <p>Uma boa forma de começar com o trabalho de segurança é ajudando - com o Rastreador de Segurança Debian (<a - href="https://security-tracker.debian.org/tracker/data/report";>instruções</a>).</p> - -<toc-add-entry name=proposed-updates>Qual é o escopo do <q>proposed-updates</q>?</toc-add-entry> -<p>R: Este diretório contém pacotes que são sugeridos para entrar - na próxima versão estável do Debian. Sempre que pacotes são enviados - por um mantenedor para a distribuição estável, eles acabam no - diretório <q>proposed-updates</q>. Já que a estável é feita para ser estável, - atualizações automáticas não são realizadas. O Time de Segurança irá - enviar pacotes corrigidos mencionados em alertas para a estável, - no entanto, eles serão colocados no <q>proposed-updates</q> antes. A cada - dois meses, o Gerente da Distribuição Estável confere a lista de pacotes - do <q>proposed-updates</q> e discute se um pacote serve ou não para a - estável. - Então, os escolhidos são compilados em uma nova versão da estável - (e.x. 2.2r3 ou 2.2r4). Pacotes que não se encaixam na versão estável - provavelmente serão rejeitados e também descartados do - <q>proposed-updates</q>. -</p> - - <p>Note que pacotes com uploads feitos pelos mantenedores (não pelo time - de segurança) no diretório proposed-updates/ não são suportados pelo time - de segurança.</p> - -<toc-add-entry name=composing>Como o Time de Segurança é composto?</toc-add-entry> -<p>R: O Time de Segurança do Debian consiste em - <a href="../intro/organization">alguns oficiais e secretários</a>. - O próprio Time de Segurança designa pessoas para se juntar ao grupo.</p> - -<toc-add-entry name=lifespan>Por quanto tempo as atualizações de segurança são fornecidas?</toc-add-entry> -<p>R: O time de segurança tenta dar suporte à distribuição estável por mais - ou menos um ano depois que uma próxima distribuição estável é lançada, exceto - quando uma outra distribuição estável é lançada neste período. É impossível - dar suporte a três distribuições; dar suporte a duas simultaneamente já é - difícil o bastante. -</p> +<p> R: Revise cada problema antes de relatá-lo à + secur...@debian.org. Se você puder fornecer patches, esse + aceleraria o processo. Não encaminhe simplesmente correios de bugtraq, + porque já os recebemos — mas nos forneça + informações adicionais sobre coisas relatadas no bugtraq. </p> + +<p> Uma boa maneira de começar o trabalho de segurança é ajudando + no Debian Security Tracker (<a + href = "https://security-tracker.debian.org/tracker/data/report";> instruções </a>). </p> + +<toc-add-entry name=proposed-updates>Qual é o escopo das atualizações propostas?</toc-add-entry> +<p> R: Este diretório contém pacotes que são propostos para inserir o + próxima revisão do Debian estável. Sempre que os pacotes são enviados por + mantenedor da distribuição estável, eles acabam no + diretório de atualizações propostas. Uma vez que estável deve ser estável, não há + atualizações automáticas a serem feitas. A equipe de segurança fará a subida fixa dos + pacotes mencionados em seus avisos para stable, porém eles colocarão + atualizações propostas primeiro. A cada dois meses, o + O Stable Release Manager verifica a lista de pacotes em + atualizações propostas e discute se um pacote é adequado para + stable ou não. Isso é compilado em outra revisão do stable + (por exemplo, 2.2r3 ou 2.2r4). Pacotes que não se encaixam provavelmente serão + rejeitado e retirado das atualizações propostas também. + </p> + +<p> Observe que os pacotes enviados pelos mantenedores (não pela equipe de segurança) + no diretório proposed-updates/ não são suportados pelo sistema de segurança + equipe. </p> + +<toc-add-entry name=composing> Como é composta a equipe de segurança? </toc-add-entry> + <p> R: A equipe de segurança Debian consiste em + <a href="../intro/organization#security"> vários oficiais e secretários </a>. + A própria equipe de segurança nomeia pessoas para ingressar na equipe. </p> + +<toc-add-entry name=lifespan> Por quanto tempo as atualizações de segurança serão fornecidas? </toc-add-entry> + <p> R: A equipe de segurança tenta oferecer suporte a uma distribuição stable para + cerca de um ano após a próxima distribuição stable + liberada, exceto quando outra distribuição stable é liberada + dentro deste ano. Não é possível suportar três + distribuições; apoiar dois simultaneamente já é difícil + o suficiente. + </p> + +<toc-add-entry name=check> Como posso verificar a integridade dos pacotes? </toc-add-entry> + <p> R: Esse processo envolve a verificação da assinatura do arquivo Release contra + o <a href="https://ftp-master.debian.org/keys.html";>\ + chave pública </a> usada para o arquivo. O arquivo Release contém o + somas de verificação de arquivos de pacotes e fontes, que contêm + somas de verificação de pacotes binários e de origem. Instruções detalhadas sobre como + para verificar a integridade dos pacotes pode ser encontrado no <a + href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\ + Manual de Segurança Debian </a>. </p> + +<toc-add-entry name=break> O que fazer se um pacote aleatório for interrompido após uma atualização de segurança? </toc-add-entry> + <p> R: Antes de tudo, você deve descobrir por que o pacote quebra e + como está conectado à atualização de segurança, entre em contato com o + equipe de segurança, se for grave, ou o gerente de versão estável, se + é menos grave. Estamos falando de pacotes aleatórios que quebram + após uma atualização de segurança de um pacote diferente. Se você não puder + descobrir o que está errado, mas tem uma correção, converse com o + equipe de segurança também. Você pode ser redirecionado para a gerenciamento da + versão stable. </p> + +<toc-add-entry name=cvewhat> O que é um identificador CVE? </toc-add-entry> + <p> R: O projeto Vulnerabilidades e exposições comuns atribui + nomes exclusivos, chamados identificadores CVE, para segurança específica + vulnerabilidades, para facilitar a referência exclusiva a um determinado + questão. Mais informações podem ser encontradas em <a + href="http://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures";>\ + Wikipedia </a>. </p> + +<toc-add-entry name=cvedsa> O Debian emite um DSA para cada ID de CVE? </toc-add-entry> + <p> R: A equipe de segurança da Debian rastreia todos os identificadores CVE emitidos, + conecte-o ao pacote Debian relevante e avalie seu impacto em um + Contexto Debian - o fato de algo ser atribuído a um ID do CVE não + implica necessariamente que o problema seja uma séria ameaça ao sistema Debian. + Esta informação é rastreada no + <a href="https://security-tracker.debian.org";> Rastreador de Segurança Debian </a> + e para os problemas considerados sérios, um Aviso de Segurança Debian + será emitido. </p> + +<p> Problemas de baixo impacto não qualificados para um DSA podem ser corrigidos na próxima + lançamento do Debian, em um lançamento pontual do atual stable ou oldstable + distribuições ou estão incluídas em um DSA quando este está sendo emitido para um + vulnerabilidade mais séria. </p> + +<toc-add-entry name=cveget> O Debian pode atribuir identificadores CVE? </toc-add-entry> + <p> R: O Debian é uma autoridade de numeração do CVE e pode atribuir IDs, mas por + Política do CVE apenas para questões ainda não divulgadas. Se você tem um segredo + vulnerabilidade de segurança para software no Debian e gostaria de obter uma + identificador, entre em contato com a equipe de segurança da Debian. Nos casos em que o + vulnerabilidade já é pública, aconselhamos a seguir o procedimento + detalhado em <a + href="https://github.com/RedHatProductSecurity/CVE-HOWTO";>\ + HOWTO de solicitação de código aberto do CVE </a>. </p> + +<toc-add-entry name=disclosure-policy> O Debian tem uma política de divulgação de vulnerabilidades? </toc-add-entry> + <p> R: O Debian publicou uma vulnerabilidade <a href="disclosure-policy"> + política de divulgação </a> como parte de sua participação no CVE + programa. + +<h1> Perguntas frequentes sobre segurança Debian obsoleta </h1> +<toc-add-entry name=localremote> O que <q> local (remoto) </q> significa? </toc-add-entry> + <p> <b> O campo <i> Tipo de problema </i> nos e-mails do DSA não é usado desde abril de 2014. </b> <br/> + R: Alguns avisos cobrem vulnerabilidades que não podem ser identificadas + com o esquema clássico de exploração local e remota. Alguns + vulnerabilidades não podem ser exploradas remotamente, ou seja, não + corresponde a um daemon ouvindo uma porta de rede. Se eles podem ser + explorado por arquivos especiais que poderiam ser fornecidos via rede + enquanto o serviço vulnerável não estiver permanentemente conectado ao + rede, escrevemos <q> local (remoto) </q> nesses casos. </p> + + <p> Tais vulnerabilidades estão entre locais e remotas + vulnerabilidades e geralmente cobrem arquivos que poderiam ser fornecidos + através da rede, por exemplo como anexo de email ou de um download + página. </p> -<toc-add-entry name=check>Como verifico a integridade de um pacote?</toc-add-entry> -<p>R: É preciso verificar a assinatura do arquivo Release com a - <a href="https://ftp-master.debian.org/keys.html";>\ - chave pública</a> usada para armazenamento. O arquivo Release - contém os checksums os arquivos Packages e Sources, que contêm os - checksums dos pacotes binários e fontes. Mais informações de como - verificar a integridade dos pacotes podem ser encontradas no <a - href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\ - Manual de Segurança do Debian</a>.</p> - -<toc-add-entry name=break>O que fazer quando um pacote aleatório quebra após - uma atualização de segurança?</toc-add-entry> -<p>R: Antes de mais nada, você deve descobrir por que o pacote quebrou e como - isto está conectado à atualização de segurança, então contate o time de - segurança se isto for sério ou o gerente da distribuição estável se for menos - sério. Nós estamos falando de pacotes aleatórios que quebram após uma - atualização de segurança de um pacote diferente. Se você não pode descobrir - o que deu errado mas tem uma correção, fale com o time de segurança também. - É possível que você seja redirecionado ao gerente da distribuição estável.</p>
