Sécurité et NetBSD

Le projet NetBSD adopte la même approche, en ce qui concerne la sécurité, que celle pour le reste du système : Des solutions, pas de bricolage. Les questions de sécurité sont traitées par le directeur de sécurité de NetBSD et par l'équipe d'alerte sécurité de NetBSD. De même qu'elle effectue des investigations, documente et met le code à jour en réponse aux rapports de sécurité, l'équipe vérifie régulièrement le code source pour traquer et éliminer tout problème de sécurité potentiel.

Bulletins de sécurité

Lorsque de sérieux problèmes de sécurité sont trouvés et corrigés dans NetBSD, nous diffusions un bulletin décrivant le problème et donnant un pointeur vers le correctif. Ils sont largement diffusés et archivés sur ce site.

Derniers bulletins

• NetBSD-SA2000-014 Vulnérabilité des interfaces CGI des paquetages globaux.
• NetBSD-SA2000-015 Vulnérabilités de libutil.
• NetBSD-SA2000-017 Vulnérabilités dans telnetd/libkrb.
• NetBSD-SA2000-018 Vulnérabilités dans ftpd.
• NetBSD-SA2001-001 Vulnérabilités dans BIND.
• NetBSD-SA2001-002 Vulnérabilités de USER_LDT uniquement sur système i386.
• NetBSD-SA2001-003 Vulnérabilités de Secure Shell (SSH) et configuration de rnd(4).

Points de contact

Le Projet NetBSD possède deux points de contact en ce qui concerne la sécurité :

• La liste de diffusion tech-security est un forum ouvert aux discussions sur la sécurité dans NetBSD.
• Vous pouvez directement contacter le Projet NetBSD pour les questions de sécurité en envoyant un courriel à security-alert@NetBSD.org.

Signaler un problème de sécurité

Pour signaler un problème de sécurité dans NetBSD, vous pouvez, au choix, contacter l'équipe security-alert@NetBSD.org ou envoyer un rapport satandard NetBSD en utilisant le formulaire send-pr ou le programme send-pr(1) présent sur votre système NetBSD.

Les informations sensibles peuvent être encryptées avec PGP en utilisant la clé PGP du président de la sécurité. Vous trouverez des informations sur PGP sur le site Network Associates' PGP.

Correctifs

Tous les correctifs NetBSD publiés se trouvent sur le serveur FTP du Projet dans le répertoire misc/security/patches/.

Correctifs des versions officielles

Les mises à jour spécifiques aux versions de NetBSD se trouvent ici :

• NetBSD 1.5
• NetBSD 1.4.3
• NetBSD 1.4.2
• NetBSD 1.4.1
• NetBSD 1.4

• NetBSD 1.3.3
• NetBSD 1.3.2
• NetBSD 1.3.1
• NetBSD 1.3

Corriger NetBSD-current

Nous ne diffusons pas de correctifs ou de bulletins pour NetBSD-current mais nous vous conseillons la mise à jour vers les versions corrigées. Voir les bulletins ci-dessus.

Paquetages tierces

Les personnes utilisant des programmes de sécurité RSA issus du système de paquetages de NetBSD doivent vérifier qu'elles possèdent rsaref version 2.0p3 ou plus récente. En décembre 1999, il a été découvert quelques dépassements de tampon dans la bibliothèque RSAREF. Si vous n'avez pas au moins la version 2.0p3, consultez «pkg_info -R rsaref» pour connaitre les paquetages impliqués.

Ressources en sécurité

Vous trouverez de nombreuses informations en-ligne sur les sites suivants :

• Archives de bulletins du Projet NetBSD
• Computer Emergency Response Team
• Australian Computer Emergency Response Team
• Forum of Incident Response and Security Teams
• Security Focus
• The FreeBSD Project Security Guide

Pour utiliser NetBSD comme pare-feu, la Firewalls page at GNAC contient de nombreux liens utiles.

Accueil