--- description: 'Инструкции по безопасности при создании порта FreeBSD' next: books/porters-handbook/porting-dads params: path: /books/porters-handbook/security/ prev: books/porters-handbook/upgrading showBookMenu: 'true' tags: ["security", "porting", "ports", "VuXML"] title: 'Глава 12. Безопасность портов' weight: 12 --- [[security]] = Безопасность :doctype: book :toc: macro :toclevels: 1 :icons: font :sectnums: :sectnumlevels: 6 :sectnumoffset: 12 :partnums: :source-highlighter: rouge :experimental: :images-path: books/porters-handbook/ ifdef::env-beastie[] ifdef::backend-html5[] :imagesdir: ../../../../images/{images-path} endif::[] ifndef::book[] include::shared/authors.adoc[] include::shared/mirrors.adoc[] include::shared/releases.adoc[] include::shared/attributes/attributes-{{% lang %}}.adoc[] include::shared/{{% lang %}}/teams.adoc[] include::shared/{{% lang %}}/mailing-lists.adoc[] include::shared/{{% lang %}}/urls.adoc[] toc::[] endif::[] ifdef::backend-pdf,backend-epub3[] include::../../../../../shared/asciidoctor.adoc[] endif::[] endif::[] ifndef::env-beastie[] toc::[] include::../../../../../shared/asciidoctor.adoc[] endif::[] [[security-intro]] == Почему безопасность так важна Ошибки в программном обеспечении появляются случайно. Возможно, самые опасные из них те, что создают уязвимости безопасности. С технической точки зрения подобные уязвимости должны быть закрыты путем исправления вызывающих их ошибок. Тем не менее, политики обработки несущественных ошибок и уязвимостей очень различаются. Обычная небольшая ошибка затрагивает только тех пользователей, которые задействуют некоторые комбинации настроек, активирующие эту ошибку. Разработчик в конечном счете выпустит патч, а зачтем новую версию программного обеспечения, свободного от ошибки, но большинство пользователей не посчитают нужным сразу же произвести обновление, поскольку эта ошибка никогда у них не проявлялась. Критическая ошибка, которая может приводить к потере данных, представляет серьезную проблему. Тем не менее, предусмотрительные пользователи знают, что большинство возможных происшествий, и среди них программные ошибки, скорее всего приводят к потере данных, поэтому они выполняют резервное копирование важных данных; дополнительно, критическая ошибка будет обнаружена очень скоро. С уязвимостью безопасности всё иначе. Во-первых, она может сохраняться необнаруженной целые годы, потому что чаще всего не вызывает ошибок в работе. Во-вторых, компания злоумышленников может использовать её для получения неавторизованного доступа к уязвимой системе, уничтожить или подменить важные данные; в худшем случае пользователь даже не заметит нанесенный урон. В-третьих, взлом уязвимой системы часто упрощает задачу проникновения атакующих в другие системы, которые не могут быть скомпрометированы иначе. Таким образом, устранение уязвимости как таковой недостаточно: следует разослать всем заинтересованным уведомления в наиболее понятной и исчерпывающей форме, что позволит оценить риск и предпринять подходящие меры. [[security-fix]] == Исправление уязвимостей безопасности Что касается портов и пакетов, уязвимость безопасности изначально может появиться в исходном дистрибутиве или файлах порта. В первом случае, разработчик исходного программного обеспечения скорее всего сразу же выпустит патч или новую версию, и вам лишь понадобится сразу обновить порт в соответствии с исправлением автора. Если исправление по какой-то причине задерживается, вам следует либо crossref:porting-dads[dads-noinstall,пометить порт как `FORBIDDEN`], либо добавить в порт ваш собственный патч. В случае уязвимости порта просто исправьте этот порт как можно скорее. В любом случае нужно следовать crossref:port-upgrading[port-upgrading,стандартной процедуре отправки вашего изменения], если вы не обладаете правами на коммит изменения непосредственно в дерево портов. [IMPORTANT] ==== Быть коммиттером портов недостаточно для коммита произвольного порта. Помните, что обычно у портов есть сопровождающие, мнение которых вы должны учитывать. ==== Пожалуйста, убедитесь, что ревизия порта после закрытия уязвимости увеличена. Вот как пользователи, обновляющие установленные пакеты на постоянной основе, увидят, что им нужно запустить обновление. Кроме того, новый пакет будет собран и распространен через FTP и WWW зеркала, замещая уязвимый. Если в процессе исправления уязвимости не было изменено значение `PORTVERSION`, то должно быть увеличено значение `PORTREVISION`. Вам следует увеличить значение `PORTREVISION` после добавления в порт файла с патчем, но не когда вы обновили порт до последней версии программного обеспечения, попутно затронув при этом `PORTVERSION`. За дальнейшей информацией обращайтесь к crossref:makefiles[makefile-naming-revepoch,соответствующему разделу]. [[security-notify]] == Обеспечение сообщества информацией [[security-notify-vuxml-db]] === База данных VuXML Очень важным и первостепенным шагом при действии как можно раньше после раскрытия уязвимости является уведомление сообщества пользователей порта об опасности. Такие уведомления служат двум целям. Во-первых, в случае действительно серьезной угрозы, будет посоветовано применить мгновенное воздействие. Например, остановить затрагиваемый сетевой сервис или даже удалить порт целиком, пока уязвимость не будет устранена. Во-вторых, масса пользователей имеет тенденцию обновлять установленные пакеты только от случая к случаю. Из уведомления они узнают, что _должны_ обновить пакет без промедления сразу же после появления исправленной версии. Учитывая огромное число портов в дереве, невозможно по каждому случаю выпускать бюллетень безопасности без создания флуда и потери внимания сообщества к моменту появления действительно серьезных причин. Поэтому уязвимости безопасности, обнаруженные в портах, записываются в http://vuxml.freebsd.org/[базу данных FreeBSD VuXML]. Члены Команды Офицеров Безопасности также отслеживают её на предмет появления вопросов, требующих их вмешательства. Если вы обладаете правами коммиттера, вы можете сам обновить базу данных VuXML. Так вы поможете Команде Офицеров Безопасности и своевременно пошлете ценную информацию сообществу. Тем не менее, если вы не являетесь коммиттером или верите, что нашли исключительно серьезную уязвимость, то не задумываясь свяжитесь с Командой Офицеров Безопасности напрямую как это описано на странице https://www.freebsd.org/security/#how[информационной безопасности FreeBSD]. База данных VuXML является документом XML. Его исходный файл [.filename]#vuln.xml# содержится прямо внутри порта package:security/vuxml[]. Следовательно, полное имя пути к файлу будет [.filename]#PORTSDIR/security/vuxml/vuln.xml#. Каждый раз, при обнаружении вами в порте уязвимости безопасности добавьте об этом запись в этот файл. Пока вы не знакомы с VuXML, лучшее, что вы можете сделать, это найти существующую запись, подпадающую под ваш случай, затем скопировать её и использовать в качестве шаблона. [[security-notify-vuxml-intro]] === Короткое вступление в VuXML В совокупности XML является очень сложным форматом, и его описание выходит далеко за рамки этой книги. Тем не менее, для достижения основного понимания структуры записи VuXML вам понадобится всего лишь понять теги. Имена тегов XML обрамляются в угловые скобки. Каждый открывающий должен иметь совпадающий закрывающий . Теги могут быть вложенными. При вложенности внутренние теги должны быть закрыты до закрытия внешних. Существует иерархия тегов, т.е. более сложные правила вкладывания тегов. Это похоже на HTML. Основное отличие в расширяемости XML, т.е. в определении собственных тегов. Из-за своей характерной структуры XML придает форму разрозненным данным. В частности, XML подходит для разметки описаний уязвимостей безопасности. Теперь рассмотрим настоящую запись VuXML: [.programlisting] .... <.> Several vulnerabilities found in Foo <.> foo <.> foo-devel ja-foo 1.61.9 <.> 2.*2.4_1 3.0b1 openfoo <.> 1.10_7 <.> 1.2,11.3_1,1

J. Random Hacker reports:

<.>

Several issues in the Foo software may be exploited via carefully crafted QUUX requests. These requests will permit the injection of Bar code, mumble theft, and the readability of the Foo administrator account.

 <.> SA-10:75.foo <.> ports/987654 <.> CVE-2023-48795 <.> 740169 <.> SA10-99A <.> http://marc.theaimsgroup.com/?l=bugtraq&m=203886607825605 <.> http://j.r.hacker.com/advisories/1 <.> 2010-05-25 <.> 2010-07-13 <.> 2010-09-17 <.> .... Имена тегов должны быть самодокументируемыми, чтобы мы сфокусировались только на полях, нужных нам для заполнения: <.> Это тег верхнего уровня записи VuXML. У него есть обязательный атрибут `vid`, указывающий на универсальный уникальный идентификатор (UUID) для этой записи (в кавычках). Вы должны формировать UUID для каждой новой записи VuXML (и не забудьте заменить её для шаблона UUID, если вы не пишете запись с нуля). Для получения VuXML UUID вы можете использовать man:uuidgen[1]. <.> Однострочное описание найденной проблемы. <.> Здесь перечислены имена затронутых пакетов. Может быть дано несколько имен, поскольку некоторые пакеты могут быть основаны на одном главном порте или программном продукте. Сюда можно включить стабильную ветвь и ветвь разработки, локализованные версии и подчиненные порты, зависящие от различного выбора важных вариантов конфигурации, указанных на этапе построения. <.> Затронутые версии пакета(ов) указаны там как один или несколько диапазонов с использованием комбинации элементов ``, ``, ``, `` и ``. Убедитесь, что указанные диапазоны версий не перекрываются. + В спецификации диапазона `\*` (звёздочка) обозначает наименьший номер версии. В частности, `2.*` меньше, чем `2.a`. Таким образом, звёздочка может использоваться в диапазоне для соответствия всем возможным версиям `alpha`, `beta` и `RC`. Например, `2.*3.*` выборочно соответствует каждой версии `2.x`, тогда как `2.03.0` — нет, поскольку последний пропускает `2.r3` и включает `3.b`. + Приведённый пример указывает, что затронуты версии `1.6` и выше, но не включая `1.9`, версии `2.x` до `2.4_1` и версия `3.0b1`. <.> Некоторые связанные группы пакетов (в конечном счете, порты) могут быть указаны в разделе ``. Это можно использовать, если некоторые программные продукты (скажем, FooBar, FreeBar and OpenBar) являются производными от общей кодовой базы и всё ещё совместно используют её ошибки и уязвимости. Имейте в виду отличие от перечисления множественных имён в одном разделе . <.> Диапазоны версий должны учитывать `PORTEPOCH` и `PORTREVISION`, если это применимо. Пожалуйста, помните, что в соответствии с правилами сравнения строк версия с ненулевым значением `PORTEPOCH` выше, чем любая версия без `PORTEPOCH`, например, `3.0,1` выше, чем `3.1` или даже `8.9`. <.> Сводная информация о проблеме. В этом поле используется XHTML. По крайней мере, должны быть обрамляющие `

` и `

`. Может быть использована более сложная разметка, но только в целях аккуратности и ясности: без эстетства, пожалуйста. <.> Этот раздел содержит ссылки на имеющие отношение документы. Приветствуется как можно большее количество ссылок. <.> Это https://www.freebsd.org/security/#adv[бюллетень безопасности FreeBSD]. <.> Это https://www.freebsd.org/support/[сообщение об ошибке FreeBSD]. <.> Идентификатор https://cve.mitre.org/[MITRE CVE]. <.> Это https://www.kb.cert.org/vuls/[SecurityFocus Bug ID]. <.> Бюллетень безопасности https://www.cisa.gov/news-events/cybersecurity-advisories[US-CERT]. <.> URL к архивному сообщению в списке рассылки. Атрибут `msgid` является необязательным и может указывать на message ID сообщения. <.> Это общий URL. Используйте его только если ни одна из других категорий ссылок не подходит. <.> Это дата, когда проблема была раскрыта (_ГГГГ-ММ-ДД_). <.> Это дата добавления записи (_ГГГГ-ММ-ДД_). <.> Это дата, когда любая информация в записи была последний раз изменена (_ГГГГ-ММ-ДД_). Новые записи не должны включать это поле. Добавьте его при редактировании существующей записи. [[security-notify-vuxml-testing]] === Тестирование ваших изменений в базе данных VuXML Этот пример описывает новую запись об уязвимости в пакете `dropbear`, которая была исправлена в версии `dropbear-2013.59`. В качестве предварительного условия установите свежую версию порта package:security/vuxml[]. Сначала проверьте, есть ли уже запись об этой уязвимости. Если бы такая запись существовала, она соответствовала бы предыдущей версии пакета `2013.58`: [source, shell] .... % pkg audit dropbear-2013.58 .... Если запись не найдена, добавьте новую запись для этой уязвимости. [source, shell] .... % cd ${PORTSDIR}/security/vuxml % make newentry .... Если уязвимость имеет идентификатор https://cve.mitre.org/[MITRE CVE], можно использовать следующую команду: [source, shell] .... % cd ${PORTSDIR}/security/vuxml % make newentry CVE_ID=CVE-YYYY-XXXXX .... где `CVE-YYYYY-XXXX` является действительным идентификатором CVE. Если уязвимость относится к FreeBSD Security Advisory, вместо этого можно использовать следующую команду: [source, shell] .... % cd ${PORTSDIR}/security/vuxml % make newentry SA_ID=FreeBSD-SA-YY-XXXXXX.asc .... где `FreeBSD-SA-YY-XXXXXX.asc` является опубликованным https://www.freebsd.org/security/advisories/[FreeBSD Security Advisory]. Проверьте его синтаксис и форматирование: [source, shell] .... % make validate .... Предыдущая команда создает файл [.filename]#vuln-flat.xml#. Его также можно создать с помощью: [source, shell] .... % make vuln-flat.xml .... [NOTE] ==== Должен быть установлен хотя бы один из следующих пакетов: package:textproc/libxml2[], package:textproc/jade[]. ==== Проверьте, что раздел `` записи соответствует правильным пакетам: [source, shell] .... % pkg audit -f ${PORTSDIR}/security/vuxml/vuln-flat.xml dropbear-2013.58 .... Убедитесь, что запись не создает ложных совпадений в выводе. Теперь проверьте, соответствуют ли записи правильные версии пакетов: [source, shell] .... % pkg audit -f ${PORTSDIR}/security/vuxml/vuln-flat.xml dropbear-2013.58 dropbear-2013.59 dropbear-2012.58 is vulnerable: dropbear -- exposure of sensitive information, DoS CVE: CVE-2013-4434 CVE: CVE-2013-4421 WWW: https://portaudit.FreeBSD.org/8c9b48d1-3715-11e3-a624-00262d8b701d.html 1 problem(s) in the installed packages found. .... Предыдущая версия совпадает, а последняя — нет. [[security-xcheck-vuxml]] === Контрольный список для новой записи в VuXML * Проверьте название порта. Иногда имя проекта в вышестоящем репозитории не полностью совпадает с именем порта. * Добавить все флейворы. Если у порта есть варианты, все имена пакетов должны быть добавлены в запись как ``. Используйте следующий скрипт для генерации всех имён пакетов с вариантами: + [source, shell] .... % for flavor in $(make -V FLAVORS); do FLAVOR="${flavor}" make -VPKGNAME;done .... + * Проверить, имеет ли порт `PORTEPOCH`. Приведённый выше фрагмент скрипта помогает в этом. Если порт использует `PORTEPOCH`, обязательно добавить его в тег ``. * Перепроверьте диапазоны. В случае диапазонов, ограниченных с обеих сторон, убедитесь, что элементы `` и `` находятся внутри одного тега ``. В противном случае запись может определить перекрывающийся диапазон. * Проверка производных версий. Если в вышестоящем проекте обнаружена уязвимость, проверьте, затронуты ли также производные или форки проекта, включённые в дерево портов. Например, если уязвимость обнаружена в package:www/firefox[], оцените, есть ли такая же уязвимость в производных, таких как package:www/librewolf[], package:www/waterfox[] или других подобных проектах. Включите все затронутые производные в запись VuXML, чтобы пользователи этих портов были проинформированы. Также проверьте наличие Linux-версий этого порта в дереве. Например, уязвимости в package:databases/sqlite3[] скорее всего затрагивают и пакеты вроде package:databases/linux-c7-sqlite3[]. * Не делайте коммит записи, не запустив сначала `make validate`.