diff options
| author | Thomas Lange <lange@debian.org> | 2024-01-09 20:01:07 +0100 |
|---|---|---|
| committer | Thomas Lange <lange@debian.org> | 2024-01-09 20:01:07 +0100 |
| commit | 2aa73ff15bfc4eb2afd85ca6d3ba081babf22432 (patch) | |
| tree | 138d359f85bd93fc1849b19a5526da658eeb67cb /dutch/security | |
| parent | e005fa1933fbc76d8755c603a6a35feedb002e49 (diff) | |
remove unused security files
This is what I did:
git rm -rf */security/199*
git rm -rf */security/20*
git rm -rf */security/key-rollover
git rm -rf */security/undated
git rm -rf */lts/security/20*
It removes 54335 files, including around 9650 DSA/DLA data files, 44189 wml files, nearly 500 Makefiles
Diffstat (limited to 'dutch/security')
67 files changed, 0 insertions, 1767 deletions
diff --git a/dutch/security/1997/Makefile b/dutch/security/1997/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/1997/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/1997/index.wml b/dutch/security/1997/index.wml deleted file mode 100644 index ecd1b7937ca..00000000000 --- a/dutch/security/1997/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="Beveiligingsberichten voor 1997" GEN_TIME="yes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="118bbba7772258864cea0391dc2fcecd44b8f358" - -# Last Translation Update by: $Author$ -# Last Translation Update at: $Date$ - -<:= get_recent_list('.', '0', '$(ENGLISHDIR)/security/1997', 'list', '\d+\w*' ) :> - diff --git a/dutch/security/1998/Makefile b/dutch/security/1998/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/1998/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/1998/index.wml b/dutch/security/1998/index.wml deleted file mode 100644 index a62b51009fa..00000000000 --- a/dutch/security/1998/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -<define-tag pagetitle>Beveiligingsberichten voor 1998</define-tag> -#use wml::debian::template title="Beveiligingsberichten voor 1998" GEN_TIME="yes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="118bbba7772258864cea0391dc2fcecd44b8f358" - -# Last Translation Update by: $Author$ -# Last Translation Update at: $Date$ - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/1998', 'list', '\d+\w*' ) :> - diff --git a/dutch/security/1999/Makefile b/dutch/security/1999/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/1999/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/1999/index.wml b/dutch/security/1999/index.wml deleted file mode 100644 index c007a23e97e..00000000000 --- a/dutch/security/1999/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -<define-tag pagetitle>Beveiligingsberichten voor 1999</define-tag> -#use wml::debian::template title="Beveiligingsberichten voor 1999" GEN_TIME="yes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="118bbba7772258864cea0391dc2fcecd44b8f358" - -# Last Translation Update by: $Author$ -# Last Translation Update at: $Date$ - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/1999', 'list', '\d+\w*' ) :> - diff --git a/dutch/security/2000/20000830.wml b/dutch/security/2000/20000830.wml deleted file mode 100644 index 63c0f6638d5..00000000000 --- a/dutch/security/2000/20000830.wml +++ /dev/null @@ -1,19 +0,0 @@ -#use wml::debian::translation-check translation="f7f72e20a06b210ebc293e57ee967964d53eb463" - -<define-tag description>Nog steeds van buiten onveilig door gebruik van buffer overflows</define-tag> -<define-tag moreinfo> -De nieuwe versie van ntop (1.2a7-10) die op 5 augustus was uitgebracht, -was nog steeds onveilig: het kon nog steeds misbruikt worden door gebruik -van buffer overflows. Met deze techniek bleek het mogelijk willekeurige -programmacode als gebruiker te draaien die ntop in webmodus gebruikte. - -<P>Om deze fout voorgoed te vermijden is een bijgewerkt pakket uitgebracht -dat webmodus helemaal uitzet. De versie van deze fix is 1.2a7-11.</P> - -<P>We raden aan upgrade of verwijderen van ntop per direct uit te voeren.</P> -</define-tag> -<define-tag description>Nog steeds mogelijk om vanaf andere machines misbruik -van te maken via een buffer-overflow</define-tag> - -# do not modify the following line -#include '$(ENGLISHDIR)/security/2000/20000830.data' diff --git a/dutch/security/2000/20000830a.wml b/dutch/security/2000/20000830a.wml deleted file mode 100644 index 40c22bed7a2..00000000000 --- a/dutch/security/2000/20000830a.wml +++ /dev/null @@ -1,24 +0,0 @@ -#use wml::debian::translation-check translation="55a70d0c0f3df8d4df237334ac6de72daaa99f73" - -<define-tag description>Kwetsbaarheid voor het uitvoeren van opdrachten via URLs</define-tag> -<define-tag moreinfo>\ -De versie van X-Chat die meegeleverd is met Debian GNU/Linux 2.2 -is kwetsbaar bij het verwerken van URLs: wanneer een gebruiker een -URL aanklikt start X-Chat Netscape om de pagina te tonen. Maar het -voerde geen controle uit naar het voorkomen van shell metakarakters, -wat gebruikt kan worden om X-Chat willekeurige opdrachten te laten -uitvoeren. - -<P>Dit probleem is in versie 1.4.3-0.1 hersteld en we raden u aan -uw xchat pakket(en) direct te vervangen door de nieuwe versie.</P> - -<P>Update: de powerpc pakketten die genoemd zijn in de eerste versie -van dit advies waren gelinkt met een versie van libgtk die nog niet -voor Debian GNU/Linux 2.2 beschikbaar is. Deze pakketten zijn opnieuw -gecompileerd met de juiste bibliotheek en zijn nu beschikbaar.</P> - -</define-tag> -<define-tag description>Programma Starten via URLs Veiligheidslek</define-tag> - -# do not modify the following line -#include '$(ENGLISHDIR)/security/2000/20000830a.data' diff --git a/dutch/security/2000/20000901.wml b/dutch/security/2000/20000901.wml deleted file mode 100644 index 482a2acd3ca..00000000000 --- a/dutch/security/2000/20000901.wml +++ /dev/null @@ -1,50 +0,0 @@ -#use wml::debian::translation-check translation="a344c983d62e0f902caa8d31afb51481f4b569ad" - -<define-tag moreinfo>Huidige Netscape Navigator en Communicator pakketten -bevatten de volgende kwetsbaarheden: -<ol> -<li>Netscape Communicator JPEG commentaarregel kan misbruikt worden - <ul> - <li>willekeurige opdrachten in deze regel worden uitgevoerd - <li>Netscape Communicator/Navigator versies 4.0 tot en met 4.73 zijn kwetsbaar - </ul> -<li>Meerdere Java Virtual Machine hebben een fout in het luisteren naar sockets -<li>Netscape Communicator "Brown Orifice" kwetsbaarheid - <ul> - <li>combinatie van 2 en 3 staat bekend als de "Brown Orifice" kwetsbaarheid - <li>kan misbruikt worden om de inhoud van uw harde schijf aan iedereen op het - internet te laten zien die leesbaar zijn voor de gebruiker die Netscape - dan gebruikt. - <li>Netscape Communicator/Navigator versies 4.0 tot en met 4.74 zijn kwetsbaar - </ul> -</ol> - -We raden aan dat gebruikers van Netscape Communicator/Navigator hun versie -vervangen door versie 4.75. De nieuwe pakketten zijn beschikbaar als broncode -en als gecompileerde pakketten voor de Intel ia32 die Debian 2.2 (potato) -gebruiken. Merk op dat de pakketten oude Netscape en Communicator pakketten -<b>niet</b> verwijderen; u zult zelf oude installaties van Communicator/Navigator -moet verwijderen. - -<p>Er zijn verschillende manieren om oude netscape pakketten te verwijderen. -Een snelle manier is het commando -"apt-get remove netscape-base-473" -waarbij 473 vervangen kan worden door 406, 407, 408, 45, 451, 46, 461, 47 of 472 -voor andere versienummers. Als u geen apt-get beschikbaar heeft, kunt u het commando -"dpkg --remove communicator-smotif-473 communicator-base-473 netscape-java-473 navigator-smotif-473 navigator-base-473" -gebruiken, waarbij opnieuw het versienummer aangepast kan worden. Een derde optie -is de pakketten te verwijderen met het programma dselect. - -<p>Als u als apt-get source heeft opgegeven -"deb http://security.debian.org/ potato/updates main contrib non-free" in /etc/apt/sources.list kunt u ook gebruiken -"apt-get update; apt-get install communicator" -om de volledige communicator omgeving (incluisief mail en nieuws) installeren -of "apt-get update ; apt-get install navigator" -voor alleen de webbrowser. Een typische installatie bevat -communicator-smotif-475, communicator-base-475, netscape-base-475, -netscape-base-4 en netscape-java-475. -</define-tag> -<define-tag description>inbraakgevoelig</define-tag> - -# do not modify the following line -#include '$(ENGLISHDIR)/security/2000/20000901.data' diff --git a/dutch/security/2000/20000902.wml b/dutch/security/2000/20000902.wml deleted file mode 100644 index a1806095111..00000000000 --- a/dutch/security/2000/20000902.wml +++ /dev/null @@ -1,30 +0,0 @@ -#use wml::debian::translation-check translation="c2a5035b44cfa7eae6bf8d60b4f49d5994077379" - -<define-tag moreinfo> -Kort geleden zijn twee problemen gevonden in de glibc bibliotheek, die -gebruikt kunnen worden om setuid programma's willekeurige code uit te -laten voeren. - -<p>Het eerste probleem is de manier waarmee ld.so met omgevingsvariabelen -omgaat: om een veilige omgeving te maken voor setuid programma's verwijdert -het enkele variabelen die het draaien van het programma kunnen beïnvloeden, -zoals LD_PRELOAD en LD_LIBRARY_PATH. Een fout is echter gevonden die er voor -zorgt dat ld.so onder bepaalde omstandigheden deze variabelen niet verwijdert. -Dit beïnvloed setuid programma's als ze andere binaire programma's starten -zonder dat ze bevoegdheden beperken of variabelen zelf verwijderen. - -<p>Het tweede probleem in taalbehandeling in glibc. Dit programma controleert -of karakters zoals '/' aanwezig zijn in LANG of LC_* variabelen om te kijken -of iemand probeert om programma's willekeurige bestanden te laten zien. -Ook hierin zijn fouten gevonden die gebruikt kunnen worden om setuid programma's -willekeurige taalbestanden te laten misbruiken om zo willekeurige opdrachten -te laten uivoeren. - -<p>Deze problemen zijn opgelost in versie 2.0.7.19981211-6.3 voor Debian GNU/Linux 2.1 -en versie 2.1.3-13 voor Debian GNU/Linux 2.2 (potato) -en we adviseren u de glibc pakketten direct op te waarderen. -</define-tag> -<define-tag description>Lokale root misbruik</define-tag> - -# do not modify the following line -#include '$(ENGLISHDIR)/security/2000/20000902.data' diff --git a/dutch/security/2000/20000902a.wml b/dutch/security/2000/20000902a.wml deleted file mode 100644 index 7a8acfd4950..00000000000 --- a/dutch/security/2000/20000902a.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::translation-check translation="55a70d0c0f3df8d4df237334ac6de72daaa99f73" - -<define-tag moreinfo>Een fout-geformateerde-string bug is gevonden in -screen. Deze bug kan uitgebuit worden om verhoogde bevoegdheden te -krijgen als screen de setuid bit gebruikt. In Debian 2.1 (slink) -had screen het setuid bit en kan de bug gebruikt worden om root te -worden. In Debian 2.2 (potato) heeft screen niet het setuid bit en is -dus niet gevoelig voor root misbruik. Maar, screen is wel setgid voor -utmp en we raden dus ook voor Debian 2.2 (potato) het installeren van -de nieuwe versie aan. - -<p>Een verbeterde versie van screen is beschikbaar als versie 3.7.4-9.1 -voor Debian 2.1 (slink) en als versie 3.9.5-9 voor Debian 2.2 (potato). - -<p>NB: Voor slink zijn er op het moment alleen binaire pakketten -beschikbaar voor i386. -</define-tag> -<define-tag description>lokaal misbruik</define-tag> - -# do not modify the following line -#include '$(ENGLISHDIR)/security/2000/20000902a.data' diff --git a/dutch/security/2000/Makefile b/dutch/security/2000/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2000/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2000/index.wml b/dutch/security/2000/index.wml deleted file mode 100644 index 851dd8ed74f..00000000000 --- a/dutch/security/2000/index.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -# Last Translation Update by: $Author$ -# Last Translation Update at: $Date$ - -<define-tag pagetitle>Beveiligingsberichten voor 2000</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2000', '', '\d+\w*' ) :> - -<p>U kunt de laatste Debian beveiligingsberichten ontvangen door u aan te melden -voor de mailinglijst -<a href="https://lists.debian.org/debian-security-announce"><strong>debian-security-announce</strong></a>. -Ook kunt u de <a href="https://lists.debian.org/debian-security-announce-00/">archieven</a> -van deze lijst doorbladeren. diff --git a/dutch/security/2001/Makefile b/dutch/security/2001/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2001/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2001/index.wml b/dutch/security/2001/index.wml deleted file mode 100644 index b5799cfc44f..00000000000 --- a/dutch/security/2001/index.wml +++ /dev/null @@ -1,15 +0,0 @@ -<define-tag pagetitle>Beveiligingsberichten voor 2001</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -# Last Translation Update by: $Author$ -# Last Translation Update at: $Date$ - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2001', '', 'dsa-\d+' ) :> - -<p>U kunt de laatste Debian beveiligingsberichten ontvangen door u aan te melden -voor de mailinglijst -<a href="https://lists.debian.org/debian-security-announce"><strong>debian-security-announce</strong></a>. -Ook kunt u de <a href="https://lists.debian.org/debian-security-announce-01/">archieven</a> -van deze lijst doorbladeren. diff --git a/dutch/security/2002/Makefile b/dutch/security/2002/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2002/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2002/index.wml b/dutch/security/2002/index.wml deleted file mode 100644 index f075289ae21..00000000000 --- a/dutch/security/2002/index.wml +++ /dev/null @@ -1,15 +0,0 @@ -<define-tag pagetitle>Beveiligingsberichten voor 2002</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -# Last Translation Update by: $Author$ -# Last Translation Update at: $Date$ - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2002', '', 'dsa-\d+' ) :> - -<p>U kunt de laatste Debian beveiligingsberichten ontvangen door u aan te melden -voor de mailinglijst -<a href="https://lists.debian.org/debian-security-announce"><strong>debian-security-announce</strong></a>. -Ook kunt u de <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2002/">archieven</a> -van deze lijst doorbladeren. diff --git a/dutch/security/2003/Makefile b/dutch/security/2003/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2003/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2003/index.wml b/dutch/security/2003/index.wml deleted file mode 100644 index 0edea752648..00000000000 --- a/dutch/security/2003/index.wml +++ /dev/null @@ -1,16 +0,0 @@ -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -# Last Translation Update by: $Author$ -# Last Translation Update at: $Date$ - -<define-tag pagetitle>Beveiligingsberichten uit 2003</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2003', '', 'dsa-\d+' ) :> - -<p>U kunt de laatste Debian beveiligingsberichten ontvangen door u aan te melden -voor de mailinglijst -<a href="https://lists.debian.org/debian-security-announce"><strong>debian-security-announce</strong></a>. -Ook kunt u de <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2003/">archieven</a> -van deze lijst doorbladeren. diff --git a/dutch/security/2004/Makefile b/dutch/security/2004/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2004/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2004/index.wml b/dutch/security/2004/index.wml deleted file mode 100644 index 74c9dc1ce77..00000000000 --- a/dutch/security/2004/index.wml +++ /dev/null @@ -1,15 +0,0 @@ -<define-tag pagetitle>Beveiligingsberichten voor 2004</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -# Last Translation Update by: $Author$ -# Last Translation Update at: $Date$ - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2004', '', 'dsa-\d+' ) :> - -<p>U kunt de laatste Debian beveiligingsberichten ontvangen door u aan te melden -voor de mailinglijst -<a href="https://lists.debian.org/debian-security-announce"><strong>debian-security-announce</strong></a>. -Ook kunt u de <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2004/">archieven</a> -van deze lijst doorbladeren. diff --git a/dutch/security/2005/Makefile b/dutch/security/2005/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2005/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2005/index.wml b/dutch/security/2005/index.wml deleted file mode 100644 index 2dd3e42cda7..00000000000 --- a/dutch/security/2005/index.wml +++ /dev/null @@ -1,15 +0,0 @@ -<define-tag pagetitle>Beveiligingsberichten voor 2005</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2005', '', 'dsa-\d+' ) :> - -<p>U kunt de laatste Debian beveiligingsberichten ontvangen door u aan te melden -voor de mailinglijst -<a href="https://lists.debian.org/debian-security-announce"><strong>debian-security-announce</strong></a>. -Ook kunt u de <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2005/">archieven</a> -van deze lijst doorbladeren. diff --git a/dutch/security/2006/Makefile b/dutch/security/2006/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2006/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2006/index.wml b/dutch/security/2006/index.wml deleted file mode 100644 index 3fdfb39dc66..00000000000 --- a/dutch/security/2006/index.wml +++ /dev/null @@ -1,15 +0,0 @@ -<define-tag pagetitle>Beveiligingsberichten voor 2006</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2006', '', 'dsa-\d+' ) :> - -<p>U kunt de laatste Debian beveiligingsberichten ontvangen door u aan te melden -voor de mailinglijst -<a href="https://lists.debian.org/debian-security-announce"><strong>debian-security-announce</strong></a>. -Ook kunt u de <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2006/">archieven</a> -van deze lijst doorbladeren. diff --git a/dutch/security/2007/Makefile b/dutch/security/2007/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2007/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2007/index.wml b/dutch/security/2007/index.wml deleted file mode 100644 index 58a1659dc66..00000000000 --- a/dutch/security/2007/index.wml +++ /dev/null @@ -1,15 +0,0 @@ -<define-tag pagetitle>Beveiligingsberichten voor 2007</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2007', '', 'dsa-\d+' ) :> - -<p>U kunt de laatste Debian beveiligingsberichten ontvangen door u aan te melden -voor de mailinglijst -<a href="https://lists.debian.org/debian-security-announce"><strong>debian-security-announce</strong></a>. -Ook kunt u de <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2007/">archieven</a> -van deze lijst doorbladeren. diff --git a/dutch/security/2008/Makefile b/dutch/security/2008/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2008/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2008/index.wml b/dutch/security/2008/index.wml deleted file mode 100644 index 5c97eba41ae..00000000000 --- a/dutch/security/2008/index.wml +++ /dev/null @@ -1,15 +0,0 @@ -<define-tag pagetitle>Beveiligingsberichten voor 2008</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2008', '', 'dsa-\d+' ) :> - -<p>U kunt de laatste Debian beveiligingsberichten ontvangen door u aan te melden -voor de mailinglijst -<a href="https://lists.debian.org/debian-security-announce"><strong>debian-security-announce</strong></a>. -Ook kunt u de <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2008/">archieven</a> -van deze lijst doorbladeren. diff --git a/dutch/security/2009/Makefile b/dutch/security/2009/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2009/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2009/index.wml b/dutch/security/2009/index.wml deleted file mode 100644 index b797bb3c732..00000000000 --- a/dutch/security/2009/index.wml +++ /dev/null @@ -1,15 +0,0 @@ -<define-tag pagetitle>Beveiligingsberichten voor 2009</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -# Last Translation Update by $Author$ -# Last Translation Update at $Date$ - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2009', '', 'dsa-\d+' ) :> - -<p>U kunt de laatste Debian beveiligingsberichten ontvangen door u aan te melden -voor de mailinglijst -<a href="https://lists.debian.org/debian-security-announce"><strong>debian-security-announce</strong></a>. -Ook kunt u de <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2009/">archieven</a> -van deze lijst doorbladeren. diff --git a/dutch/security/2010/Makefile b/dutch/security/2010/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2010/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2010/index.wml b/dutch/security/2010/index.wml deleted file mode 100644 index c50507e48c5..00000000000 --- a/dutch/security/2010/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" -<define-tag pagetitle>Beveiligingsadviezen van 2010</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2010', '', 'dsa-\d+' ) :> - -<p>U kunt de recentste beveiligingsadviezen van Debian verkrijgen door in te -tekenen op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2010/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/2011/Makefile b/dutch/security/2011/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2011/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2011/index.wml b/dutch/security/2011/index.wml deleted file mode 100644 index 755eb75b7d8..00000000000 --- a/dutch/security/2011/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" -<define-tag pagetitle>Beveiligingsadviezen van 2011</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2011', '', 'dsa-\d+' ) :> - -<p>U kunt de recentste beveiligingsadviezen van Debian verkrijgen door in te -tekenen op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2011/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/2012/Makefile b/dutch/security/2012/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2012/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2012/index.wml b/dutch/security/2012/index.wml deleted file mode 100644 index 82c48272b67..00000000000 --- a/dutch/security/2012/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" -<define-tag pagetitle>Beveiligingsadviezen uit 2012</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2012', '', 'dsa-\d+' ) :> - -<p>U kunt de recentste beveiligingsadviezen van Debian krijgen door in te tekenen - op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2012/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/2013/Makefile b/dutch/security/2013/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2013/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2013/index.wml b/dutch/security/2013/index.wml deleted file mode 100644 index 62ad9d98a0a..00000000000 --- a/dutch/security/2013/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" -<define-tag pagetitle>Beveiligingsadviezen voor 2013</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2013', '', 'dsa-\d+' ) :> - -<p>U kunt de recentste beveiligingsadviezen van Debian krijgen door in te tekenen - op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2013/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/2014/Makefile b/dutch/security/2014/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2014/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2014/index.wml b/dutch/security/2014/index.wml deleted file mode 100644 index 3e5a211d778..00000000000 --- a/dutch/security/2014/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="ed54eda7d637b53fe29a2c72db3fc396fd5cd983" -<define-tag pagetitle>Beveiligingsadviezen voor 2014</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list_security - -<:= get_directory_security_list ('.', '$(ENGLISHDIR)/security/2014' ) :> - -<p>U kunt de recentste beveiligingsadviezen van Debian krijgen door in te tekenen - op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2014/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/2015/Makefile b/dutch/security/2015/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2015/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2015/index.wml b/dutch/security/2015/index.wml deleted file mode 100644 index c5069e7d14b..00000000000 --- a/dutch/security/2015/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="ed54eda7d637b53fe29a2c72db3fc396fd5cd983" -<define-tag pagetitle>Beveiligingsadviezen uit 2015</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list_security - -<:= get_directory_security_list ('.', '$(ENGLISHDIR)/security/2015' ) :> - -<p>U kunt de recentste beveiligingsadviezen van Debian verkrijgen door in te -tekenen op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2015/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/2016/Makefile b/dutch/security/2016/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2016/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2016/index.wml b/dutch/security/2016/index.wml deleted file mode 100644 index 42cbd9bcf62..00000000000 --- a/dutch/security/2016/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="ed54eda7d637b53fe29a2c72db3fc396fd5cd983" -<define-tag pagetitle>Beveiligingsadviezen van 2016</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list_security - -<:= get_directory_security_list ('.', '$(ENGLISHDIR)/security/2016' ) :> - -<p>U kunt de recentste beveiligingsadviezen van Debian verkrijgen door in te -tekenen op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2016/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/2017/Makefile b/dutch/security/2017/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2017/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2017/index.wml b/dutch/security/2017/index.wml deleted file mode 100644 index 1ad5dd208aa..00000000000 --- a/dutch/security/2017/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="dace092385d19a97d0a21f78d1600118aa5bc25b" -<define-tag pagetitle>Beveiligingsadviezen voor 2017</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2017', '', 'dsa-\d+' ) :> - -<p>U kunt de recentste beveiligingsadviezen van Debian krijgen door in te tekenen - op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2017/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/2018/Makefile b/dutch/security/2018/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2018/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2018/index.wml b/dutch/security/2018/index.wml deleted file mode 100644 index 9573424a398..00000000000 --- a/dutch/security/2018/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="8635bbbedf6cf68c100d16e30d03160b02a7aad7" -<define-tag pagetitle>Beveiligingsadviezen van 2018</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2018', '', 'dsa-\d+' ) :> - -<p>U kunt de recentste beveiligingsadviezen van Debian verkrijgen door in te -tekenen op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2018/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/2019/Makefile b/dutch/security/2019/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2019/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2019/index.wml b/dutch/security/2019/index.wml deleted file mode 100644 index 18bc8eadf2a..00000000000 --- a/dutch/security/2019/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="e8123b3425d07e0aa35e56936c3403a3ed975b0a" -<define-tag pagetitle>Beveiligingsadviezen voor 2019</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2019', '', 'dsa-\d+' ) :> - -<p>U kunt de recentste beveiligingsadviezen van Debian krijgen door in te tekenen - op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2019/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/2020-GRUB-UEFI-SecureBoot/Makefile b/dutch/security/2020-GRUB-UEFI-SecureBoot/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2020-GRUB-UEFI-SecureBoot/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2020-GRUB-UEFI-SecureBoot/index.wml b/dutch/security/2020-GRUB-UEFI-SecureBoot/index.wml deleted file mode 100644 index aaa5e5f982e..00000000000 --- a/dutch/security/2020-GRUB-UEFI-SecureBoot/index.wml +++ /dev/null @@ -1,309 +0,0 @@ -#use wml::debian::template title="Kwetsbaarheid van GRUB2 UEFI SecureBoot - 'Opstartlek BootHole'" -#use wml::debian::translation-check translation="9c47c948da90cea57112872aa23f03da3a967d7b" - -<p> -Ontwikkelaars binnen Debian en elders in de Linux-gemeenschap zijn zich -onlangs bewust geworden van een ernstig probleem in het GRUB2-opstartprogramma -waardoor iemand met slechte bedoelingen UEFI Secure Boot (UEFI veilige -opstart) volledig kan omzeilen. Alle details van het probleem worden beschreven -in <a href="$(HOME)/security/2020/dsa-4735">Debian beveiligingsadvies -4735</a>. Het doel van dit document is uitleggen wat de gevolgen zijn van deze -veiligheidskwetsbaarheid en welke stappen gezet werden om deze aan te pakken. -</p> - -<ul> - <li><b><a href="#what_is_SB">Achtergrond: Wat is UEFI Secure Boot?</a></b></li> - <li><b><a href="#grub_bugs">Meerdere bugs aangetroffen in GRUB2</a></b></li> - <li><b><a href="#linux_bugs">Ook in Linux werden bugs aangetroffen</a></b></li> - <li><b><a href="#revocations">Er moeten sleutels ingetrokken worden om de Secure-Boot-keten te repareren</a></b></li> - <li><b><a href="#revocation_problem">Welke effecten heeft het intrekken van de sleutels?</a></b></li> - <li><b><a href="#package_updates">Bijgewerkte pakketten</a></b> - <ul> - <li><b><a href="#grub_updates">1. GRUB2</a></b></li> - <li><b><a href="#linux_updates">2. Linux</a></b></li> - <li><b><a href="#shim_updates">3. Shim</a></b></li> - <li><b><a href="#fwupdate_updates">4. Fwupdate</a></b></li> - <li><b><a href="#fwupd_updates">5. Fwupd</a></b></li> - </ul></li> - <li><b><a href="#buster_point_release">Debian tussenrelease 10.5 (<q>buster</q>) - met bijgewerkte installatie- en live-media</a></b></li> - <li><b><a href="#more_info">Meer informatie</a></b></li> -</ul> - -<h1><a name="what_is_SB">Achtergrond: Wat is UEFI Secure Boot?</a></h1> - -<p> -UEFI Secure Boot (SB - UEFI veilige opstart) is een verificatiemechanisme -dat moet verzekeren dat de code die door de UEFI firmware van een computer -gelanceerd wordt, te vertrouwen is. Het is ontworpen om het systeem te -beschermen tegen het laden en uitvoeren van kwaadaardige code vroegtijdig in -het opstartproces, nog voordat het besturingssysteem geladen wordt. -</p> - -<p> -SB werkt met cryptografische controlegetallen en handtekeningen. Elk programma -dat door de firmware geladen wordt heeft een handtekening en een controlegetal -en voordat de uitvoering van het programma toegestaan wordt, zal de firmware -nagaan of het betrouwbaar is door de geldigheid van het controlegetal en de -handtekening te controleren. Wanneer SB op het systeem geactiveerd is, zal een -poging om een onbetrouwbaar programma uit te voeren niet toegestaan worden. Dit -voorkomt het uitvoeren van onverwachte/ongeoorloofde code in een UEFI-omgeving. -</p> - -<p> -De meeste x86-hardware wordt door de fabrikant geleverd met Microsoft-sleutels. -Dit betekent dat de firmware op deze systemen binaire code zal vertrouwen die -ondertekend werd door Microsoft. De meeste moderne systemen worden geleverd met -een geactiveerd SB-systeem - standaard zullen zij geen niet-ondertekende code -uitvoeren, maar het is mogelijk om de firmware-configuratie aan te passen om SB -uit te schakelen of om extra ondertekeningssleutels op te nemen. -</p> - -<p> -Zoals veel op Linux gebaseerde besturingssystemen, gebruikt Debian het -programma shim om dat vertrouwen van de firmware uit te breiden naar de andere -programma's die beveiligd moeten worden tijdens de vroege stadia van het -opstartproces: de GRUB2-bootloader, de Linux-kernel en hulpmiddelen voor het -opwaarderen van firmware (fwupd en fwupdate). -</p> - -<h1><a name="grub_bugs">Meerdere bugs aangetroffen in GRUB2</a></h1> - -<p> -Jammer genoeg werd een ernstige bug aangetroffen in de code van de -GRUB2-bootloader die de configuratie (grub.cfg) leest en ontleedt. Deze bug -verbreekt de vertrouwensketen. Door het exploiteren van deze bug wordt het -mogelijk uit de beveiligde omgeving uit te breken en niet-ondertekende -programma's te laden tijdens de eerste fases van het opstartproces. Deze -kwetsbaarheid werd ontdekt door onderzoekers van Eclypsium en zij gaven het de -naam -<b><a href="https://www.eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/">BootHole</a></b>. -</p> - -<p> -In plaats van enkel deze ene bug te repareren, werden ontwikkelaars aangespoord -om een diepgaande audit van de broncode van GRUB2 uit te voeren. Het ware -onverantwoord geweest om enkel één belangrijk probleem op te lossen zonder ook -op zoek te gaan naar mogelijke andere problemen. Een team van ingenieurs heeft -verschillende weken samengewerkt om een reeks andere problemen te identificeren -en op te lossen. We hebben een paar plaatsen gevonden waar interne -geheugentoewijzingen kunnen overlopen bij onverwachte invoer, ook een aantal -plaatsen waar gehele getallen in wiskundige berekeningen zouden kunnen -overlopen en problemen zouden kunnen veroorzaken en enkele plaatsen waar -geheugen kan worden gebruikt nadat het is vrijgegeven. Oplossingen voor al deze -problemen werden binnen de gemeenschap uitgewisseld en getest. -</p> - -<p> -Nogmaals, raadpleeg <a href="$(HOME)/security/2020/dsa-4735">Debian -beveiligingsadvies 4735</a> voor een volledige lijst van aangetroffen problemen. -</p> - - -<h1><a name="linux_bugs">Ook in Linux werden bugs aangetroffen</a></h1> - -<P> -Tijdens het bespreken van de GRUB2-gebreken, spraken ontwikkelaars ook over -twee sluipwegen die onlangs aangetroffen en gerepareerd werden door Jason A. -Donenfeld (zx2c4) -(<a href="https://git.zx2c4.com/american-unsigned-language/tree/american-unsigned-language.sh">1</a>, <a href="https://git.zx2c4.com/american-unsigned-language/tree/american-unsigned-language-2.sh">2</a>), -waarbij ook Linux mogelijk het omzeilen van Secure Boot zou toelaten. Deze twee -sluipwegen laten de systeembeheerder toe op een vergrendeld systeem -ACPI-tabellen te vervangen, waar dit niet zou mogen. Reparaties voor deze -problemen werden reeds uitgebracht. -</p> - -<h1><a name="revocations">Er moeten sleutels ingetrokken worden om de Secure-Boot-keten te repareren</a></h1> - -<p> -Debian en andere leveranciers van besturingssystemen zullen ongetwijfeld <a -href="#package_updates">gerepareerde versies uitbrengen</a> van GRUB2 en -Linux. Dit houdt echter geen volledige reparatie in van de hier gesignaleerde -problemen. Kwaadwillige personen zouden nog steeds gebruik kunnen maken van -oudere versies van deze programma's om Secure Boot te omzeilen. -</p> - -<p> -Om dat te stoppen, is de volgende stap dat Microsoft die onveilige binaire -bestanden blokkeert om te voorkomen dat ze onder SB worden uitgevoerd. Dit -is mogelijk via de <b>DBX</b>-lijst, een functionaliteit van het UEFI Secure -Boot-ontwerp. Aan alle Linux-distributies die door Microsoft ondertekende -versies van shim bevatten, werd gevraagd details over te maken van de -betreffende programma's en sleutels om dit proces te faciliteren. Het <a -href="https://uefi.org/revocationlistfile">bestand met de lijst van -UEFI-intrekkingen</a> zal bijgewerkt worden om deze informatie op te nemen. Op -<b>een bepaald</b> moment in de toekomst zullen systemen deze bijgewerkte lijst -beginnen gebruiken en weigeren de kwetsbare programma's nog langer onder Secure -Boot uit te voeren. -</p> - -<p> -De <i>exacte</i> tijdlijn voor het ontplooien van deze aanpassingen is nog niet -bekend. Ergens in de toekomst zullen BIOS/UEFI-leveranciers deze nieuwe lijst -met intrekkingen beginnen gebruiken in recentere firmware-versies voor nieuwe -hardware. <b>Mogelijk</b> zal ook Microsoft updates uitbrengen voor bestaande -systemen via Windows Update. Mogelijk zullen bepaalde Linux-distributies -updates uitbrengen via hun eigen proces van beveiligingsupdates. -<b>Momenteel</b> doet Debian dat nog niet, maar we bekijken het voor de -toekomst. -</p> - -<h1><a name="revocation_problem">Welke effecten heeft het intrekken van de sleutels?</a></h1> - -<p> -De meeste leveranciers wantrouwen het automatisch toepassen van updates die -sleutels intrekken die voor Secure Boot worden gebruikt. Voor SB geschikt -gemaakte bestaande software-installaties zouden mogelijk plots helemaal niet -meer kunnen opstarten, tenzij de gebruiker er zorg voor gedragen heeft om ook -alle nodige software-updates te installeren. Windows/Linux dual-bootsystemen -zouden plots niet meer in staat kunnen zijn om Linux op te starten. Ook oude -installaties en live-systemen zouden niet langer kunnen opstarten, wat het -potentieel moeilijker zou maken om systemen te herstellen. -</p> - -<p> -Er zijn twee voor de hand liggende manieren om een dergelijk niet-opstartend -systeem te repareren: -</p> - -<ul> - <li>Herstarten in <q>rescue</q>-modus (reparatiemodus) - met <a href="#buster_point_release">recentere installatiemedia</a> en - de noodzakelijke updates op die manier toepassen; of</li> - <li>Secure Boot tijdelijk uitzetten om opnieuw toegang te krijgen tot - het systeem, de updates toepassen en dan Secure Boot opnieuw aanzetten.</li> -</ul> - -<p> -Beide mogelijkheden kunnen eenvoudig lijken, maar allebei kunnen ze tijdrovend -zijn voor gebruikers die verschillende systemen moeten onderhouden. U dient ook -te weten dat voor het uit- en aanzetten van Secure Boot rechtstreekse toegang -tot de machine nodig is. Dit is zo bedoeld. Normaal is het <b>onmogelijk</b> om -deze configuratie aan te passen buiten het instellingenprogramma van de -firmware om. Net om deze reden dient men mogelijk extra zorg te besteden aan -servercomputers die op een andere locatie staan. -</p> - -<p> -Om deze redenen wordt <b>alle</b> Debian-gebruikers ten zeerste aanbevolen -ervoor te zorgen dat alle <a href="#package_updates">aanbevolen updates</a> zo -snel mogelijk op hun systeem geïnstalleerd worden om de kans op problemen in de -toekomst te verkleinen. -</p> - -<h1><a name="package_updates">Bijgewerkte pakketten</a></h1> - -<p> -<b>Opmerking:</b> Systemen met Debian 9 (<q>stretch</q>) of ouder -zullen hier <b>niet</b> noodzakelijk updates krijgen, omdat Debian 10 -(<q>buster</q>) de eerste release van Debian was met ingebouwde ondersteuning -voor UEFI Secure Boot. -</p> - -<p>De ondertekende versies van alle pakketten hier werden bijgewerkt, ook -indien er geen andere aanpassingen nodig waren. Debian heeft een nieuw(e) -ondertekeningssleutel/certificaat moeten genereren voor zijn eigen Secure -Boot-pakketten. Het oude certificaat had het label <q>Debian Secure Boot -Signer</q> (vingerafdruk -<code>f156d24f5d4e775da0e6a9111f074cfce701939d688c64dba093f97753434f2c</code>); -het nieuwe certificaat is <q>Debian Secure Boot Signer 2020</q> -(<code>3a91a54f9f46a720fe5bbd2390538ba557da0c2ed5286f5351fe04fff254ec31</code>). </p> - -<p> -Er zijn vijf broncodepakketten in Debian die zullen worden bijgewerkt vanwege -de hier beschreven UEFI Secure Boot-wijzigingen: -</p> - -<h2><a name="grub_updates">1. GRUB2</a></h2> - -<p> -Bijgewerkte versies van de GRUB2-pakketten van Debian zijn nu beschikbaar via -het archief debian-security van de stabiele release Debian 10 -(<q>buster</q>). Zeer binnenkort zullen gerepareerde versies voor de -ontwikkelingsversies van Debian (unstable en testing) beschikbaar zijn -in het normale Debian archief. -</p> - -<h2><a name="linux_updates">2. Linux</a></h2> - -<p> -Bijgewerkte versies van de linux-pakketten van Debian zijn nu beschikbaar via -het archief buster-proposed-updates van de stabiele release Debian 10 -(<q>buster</q>) en deze zullen opgenomen worden in de aanstaande tussenrelease -10.5. Ook in het Debian-archief voor de ontwikkelingsversies van Debian -(unstable en testing) zijn nieuwe pakketten aanwezig. We hopen tevens -binnenkort gerepareerde pakketten te kunnen uploaden naar buster-backports. -</p> - -<h2><a name="shim_updates">3. Shim</a></h2> - -<p> -Vanwege de manier waarop Debian's Secure Boot-sleutelbeheer werkt, hoeft Debian -zijn bestaande door Microsoft ondertekende shim-pakketten <b>niet</b> in te -trekken. De ondertekende versies van de shim-helper-pakketten moesten echter -opnieuw gebouwd worden om gebruik te maken van de nieuwe ondertekeningssleutel. -</p> - -<p> -Er zijn nu via buster-proposed-updates bijgewerkte versies van de -shim-pakketten van Debian beschikbaar voor de stabiele release Debian 10 -(<q>buster</q>) en deze zullen opgenomen worden in de aanstaande tussenrelease -10.5. Ook in het Debian-archief voor ontwikkelingsversies (unstable en testing) -zijn nieuwe pakketten beschikbaar. -</p> - -<h2><a name="fwupdate_updates">4. Fwupdate</a></h2> - -<p> -Er zijn nu via buster-proposed-updates bijgewerkte versies van de -fwupdate-pakketten van Debian beschikbaar voor de stabiele release Debian 10 -(<q>buster</q>) en deze zullen opgenomen worden in de aanstaande tussenrelease -10.5. Reeds een tijd geleden werd fwupdate verwijderd uit unstable en testing -ten gunste van fwupd. -</p> - -<h2><a name="fwupd_updates">5. Fwupd</a></h2> - -<p> -Er zijn nu via buster-proposed-updates bijgewerkte versies van de -fwupd-pakketten van Debian beschikbaar voor de stabiele release Debian 10 -(<q>buster</q>) en deze zullen opgenomen worden in de aanstaande tussenrelease -10.5. Ook in het Debian-archief voor ontwikkelingsversies (unstable en testing) -zijn nieuwe pakketten beschikbaar. -</p> - -<h1><a name="buster_point_release">Tussenrelease Debian 10.5 (<q>buster</q>), -bijgewerkte installatie- en live-media</a></h1> - -<p> -Het is de bedoeling dat alle hier beschreven oplossingen opgenomen worden in de -tussenrelease Debian 10.5 (<q>buster</q>), welke gepland is voor 1 augustus. Om -die reden is 10.5 een goede keuze voor gebruikers die op zoek zijn naar Debian -installatie- en live-media. Het is mogelijk dat eerdere versies niet langer -zullen werken met Secure Boot wanneer de intrekkingen van de sleutels -uitgevoerd worden. -</p> - -<h1><a name="more_info">Meer informatie</a></h1> - -<p> -Veel meer informatie over hoe UEFI Secure Boot opgezet is in Debian, is te -vinden in de wiki-pagina's van Debian - zie -<a href="https://wiki.debian.org/SecureBoot">https://wiki.debian.org/SecureBoot</a>.</p> - -<p> -Andere informatiebronnen over dit onderwerp zijn onder meer: -</p> - -<ul> - <li><a href="https://www.eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/">Het artikel <q>BootHole</q> van Eclypsium</a>, met een beschrijving van -de aangetroffen kwetsbaarheden.</li> - <li><a href="https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011">Microsoft - richtlijnen voor de aanpak van omzeilingen van de beveiliging in GRUB</a></li> - <li><a href="https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass">Artikel uit de Ubuntu - KnowledgeBase</a></li> - <li><a href="https://access.redhat.com/security/vulnerabilities/grub2bootloader">Artikel van Red - Hat over de kwetsbaarheid</a></li> - <li><a href="https://www.suse.com/c/suse-addresses-grub2-secure-boot-issue/">Artikel van SUSE - over de kwetsbaarheid</a></li> -</ul> diff --git a/dutch/security/2020/Makefile b/dutch/security/2020/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2020/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2020/index.wml b/dutch/security/2020/index.wml deleted file mode 100644 index b68702c76da..00000000000 --- a/dutch/security/2020/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="1ed08b85438644aeac272b25eee88bcc365092dc" -<define-tag pagetitle>Beveiligingsadviezen van 2020</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2020', '', 'dsa-\d+' ) :> - -<p>U kunt de recentste beveiligingsadviezen van Debian verkrijgen door in te -tekenen op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2020/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/2021-GRUB-UEFI-SecureBoot/Makefile b/dutch/security/2021-GRUB-UEFI-SecureBoot/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2021-GRUB-UEFI-SecureBoot/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2021-GRUB-UEFI-SecureBoot/index.wml b/dutch/security/2021-GRUB-UEFI-SecureBoot/index.wml deleted file mode 100644 index 9aec5e575e2..00000000000 --- a/dutch/security/2021-GRUB-UEFI-SecureBoot/index.wml +++ /dev/null @@ -1,355 +0,0 @@ -#use wml::debian::template title="Kwetsbaarheden van GRUB2 UEFI SecureBoot - 2021" -#use wml::debian::translation-check translation="eaa2e2477454c72064e63ad9f58a59ec94b9d105" - -<p> -Sinds de groep van -<a href="$(HOME)/security/2020-GRUB-UEFI-SecureBoot">"BootHole"</a>-bugs -in GRUB2 die in juli 2020 werden bekendgemaakt, zijn beveiligingsonderzoekers -en ontwikkelaars in Debian en elders blijven zoeken naar nog andere problemen die het mogelijk zouden maken om UEFI Secure Boot (UEFI veilige -opstart) te omzeilen. Er werden er verschillende gevonden. Zie het -<a href="$(HOME)/security/2021/dsa-4867">Debian Beveiligingsadvies -4867-1</a> voor meer volledige informatie. Het doel van dit document is om de gevolgen van deze kwetsbaarheid op het gebied van beveiliging uit te leggen en toe te lichten welke stappen ondernomen werden om deze aan te pakken. </p> - -<ul> - <li><b><a href="#what_is_SB">Achtergrond: wat is UEFI Secure Boot?</a></b></li> - <li><b><a href="#grub_bugs">Meerdere GRUB2-bugs aangetroffen</a></b></li> - <li><b><a href="#revocations">Er moeten sleutels ingetrokken worden om de Secure-Boot-keten te repareren</a></b></li> - <li><b><a href="#revocation_problem">Welke effecten heeft het intrekken van de sleutels?</a></b></li> - <li><b><a href="#package_updates">Bijgewerkte pakketten en sleutels</a></b> - <ul> - <li><b><a href="#grub_updates">1. GRUB2</a></b></li> - <li><b><a href="#linux_updates">2. Linux</a></b></li> - <li><b><a href="#shim_updates">3. Shim en SBAT</a></b></li> - <li><b><a href="#fwupdate_updates">4. Fwupdate</a></b></li> - <li><b><a href="#fwupd_updates">5. Fwupd</a></b></li> - <li><b><a href="#key_updates">6. Sleutels</a></b></li> - </ul></li> - <li><b><a href="#buster_point_release">Debian tussenrelease 10.10 (<q>buster</q>) - met bijgewerkte installatie- en live-media</a></b></li> - <li><b><a href="#more_info">Meer informatie</a></b></li> -</ul> - -<h1><a name="what_is_SB">Achtergrond: Wat is UEFI Secure Boot?</a></h1> - -<p> -UEFI Secure Boot (SB - UEFI veilige opstart) is een verificatiemechanisme -dat moet verzekeren dat de code die door de UEFI firmware van een computer -gelanceerd wordt, te vertrouwen is. Het is ontworpen om het systeem te -beschermen tegen het laden en uitvoeren van kwaadaardige code vroegtijdig in -het opstartproces, nog voordat het besturingssysteem geladen wordt. -</p> - -<p> -SB werkt met cryptografische controlegetallen en handtekeningen. Elk programma -dat door de firmware geladen wordt heeft een handtekening en een controlegetal -en voordat de uitvoering van het programma toegestaan wordt, zal de firmware -nagaan of het betrouwbaar is door de geldigheid van het controlegetal en de -handtekening te controleren. Wanneer SB op het systeem geactiveerd is, zal een -poging om een onbetrouwbaar programma uit te voeren niet toegestaan worden. Dit -voorkomt het uitvoeren van onverwachte/ongeoorloofde code in een UEFI-omgeving. -</p> - -<p> -De meeste x86-hardware wordt door de fabrikant geleverd met Microsoft-sleutels. -Dit betekent dat de firmware op deze systemen binaire code zal vertrouwen die -ondertekend werd door Microsoft. De meeste moderne systemen worden geleverd met -een geactiveerd SB-systeem - standaard zullen zij geen niet-ondertekende code -uitvoeren, maar het is mogelijk om de firmware-configuratie aan te passen om SB -uit te schakelen of om extra ondertekeningssleutels op te nemen. -</p> - -<p> -Zoals veel op Linux gebaseerde besturingssystemen, gebruikt Debian het -programma shim om dat vertrouwen van de firmware uit te breiden naar de andere -programma's die beveiligd moeten worden tijdens de vroege stadia van het -opstartproces: de GRUB2-bootloader, de Linux-kernel en hulpmiddelen voor het -opwaarderen van firmware (fwupd en fwupdate). -</p> - -<h1><a name="grub_bugs">Meerdere bugs aangetroffen in GRUB2</a></h1> - -<p> -Er werd een bug aangetroffen in de module <q>acpi</q> van GRUB2. Deze module is -ontworpen om een stuurprogramma-interface te bieden voor ACPI ("Advanced -Configuration and Power Interface" - Geavanceerde configuratie en -elektrische voedingsinterface), een gebruikelijk onderdeel van moderne -computerhardware. Helaas staat de ACPI-module momenteel ook een bevoorrechte -gebruiker toe om vervaardigde ACPI-tabellen onder Secure Boot te laden en -willekeurige wijzigingen in de systeemstatus aan te brengen; hierdoor kunnen -mensen gemakkelijk de Secure Boot-keten doorbreken. Dit beveiligingslek is nu -verholpen. -</p> - -<p> -Zoals dit het geval was met BootHole, hebben ontwikkelaars in plaats van enkel -deze ene bug te repareren een diepgaande audit en analyse van de broncode van -GRUB2 uitgevoerd. Het ware onverantwoord geweest om enkel één belangrijk -probleem op te lossen zonder ook op zoek te gaan naar mogelijke andere -problemen. We hebben een paar andere plaatsen gevonden waar interne -geheugentoewijzingen kunnen overlopen bij onverwachte invoer en enkele plaatsen -waar geheugen kan worden gebruikt nadat het is vrijgegeven. Oplossingen voor al -deze problemen werden binnen de gemeenschap uitgewisseld en getest. -</p> - -<p> -Nogmaals, zie het <a href="$(HOME)/security/2021/dsa-4867">Debian -Beveiligingsadvies 4867-1</a> voor een volledige lijst van gevonden problemen. -</p> - - -<h1><a name="revocations">Er moeten sleutels ingetrokken worden om de -Secure-Boot-keten te repareren</a></h1> - -<p> -Debian en andere leveranciers van besturingssystemen zullen ongetwijfeld -<a href="#package_updates">gerepareerde versies uitbrengen</a> van GRUB2. Dit -houdt echter geen volledige reparatie in van de hier gesignaleerde -problemen. Kwaadwillige personen zouden nog steeds gebruik kunnen maken van -oudere kwetsbare versies van GRUB2 om Secure Boot te omzeilen. -</p> - -<p> -Om dat te stoppen, is de volgende stap dat Microsoft die onveilige binaire -bestanden blokkeert om te voorkomen dat ze onder SB worden uitgevoerd. Dit -is mogelijk via de <b>DBX</b>-lijst, een functionaliteit van het UEFI Secure -Boot-ontwerp. Aan alle Linux-distributies die door Microsoft ondertekende -versies van shim bevatten, werd gevraagd details over te maken van de -betreffende programma's en sleutels om dit proces te faciliteren. Het <a -href="https://uefi.org/revocationlistfile">bestand met de lijst van -UEFI-intrekkingen</a> zal bijgewerkt worden om deze informatie op te nemen. Op -<b>een bepaald</b> moment in de toekomst zullen systemen deze bijgewerkte lijst -beginnen gebruiken en weigeren de kwetsbare programma's nog langer onder Secure -Boot uit te voeren. -</p> - -<p> -De <i>exacte</i> tijdlijn voor het ontplooien van deze aanpassingen is nog niet -bekend. Ergens in de toekomst zullen BIOS/UEFI-leveranciers deze nieuwe lijst -met intrekkingen beginnen gebruiken in recentere firmware-versies voor nieuwe -hardware. <b>Mogelijk</b> zal ook Microsoft updates uitbrengen voor bestaande -systemen via Windows Update. Mogelijk zullen bepaalde Linux-distributies -updates uitbrengen via hun eigen proces van beveiligingsupdates. -<b>Momenteel</b> doet Debian dat nog niet, maar we bekijken het voor de -toekomst. -</p> - -<h1><a name="revocation_problem">Welke effecten heeft het intrekken van de -sleutels?</a></h1> - -<p> -De meeste leveranciers wantrouwen het automatisch toepassen van updates die -sleutels intrekken die voor Secure Boot worden gebruikt. Voor SB geschikt -gemaakte bestaande software-installaties zouden mogelijk plots helemaal niet -meer kunnen opstarten, tenzij de gebruiker er zorg voor gedragen heeft om ook -alle nodige software-updates te installeren. Windows/Linux dual-bootsystemen -zouden plots niet meer in staat kunnen zijn om Linux op te starten. Ook oude -installaties en live-systemen zouden natuurlijk niet langer kunnen opstarten, -wat het potentieel moeilijker zou maken om systemen te herstellen. - -</p> - -<p> -Er zijn twee voor de hand liggende manieren om een dergelijk niet-opstartend -systeem te repareren: -</p> - -<ul> - <li>Herstarten in <q>rescue</q>-modus (reparatiemodus) - met <a href="#buster_point_release">recentere installatiemedia</a> en - de noodzakelijke updates op die manier toepassen; of</li> - <li>Secure Boot tijdelijk uitzetten om opnieuw toegang te krijgen tot - het systeem, de updates toepassen en dan Secure Boot opnieuw aanzetten.</li> -</ul> - -<p> -Beide mogelijkheden kunnen eenvoudig lijken, maar allebei kunnen ze tijdrovend -zijn voor gebruikers die verschillende systemen moeten onderhouden. Houd er ook -rekening mee dat het in- of uitschakelen van Secure Boot standaard directe -toegang tot de machine vereist. Normaal is het <b>onmogelijk</b> om -deze configuratie aan te passen buiten het instellingenprogramma van de -firmware om. Net om deze reden dient men mogelijk extra zorg te besteden aan -servercomputers die op een andere locatie staan. -</p> - -<p> -Om deze redenen wordt <b>alle</b> Debian-gebruikers ten zeerste aanbevolen -ervoor te zorgen dat alle <a href="#package_updates">aanbevolen updates</a> zo -snel mogelijk op hun systeem geïnstalleerd worden om de kans op problemen in de -toekomst te verkleinen. -</p> - -<h1><a name="package_updates">Bijgewerkte pakketten en sleutels</a></h1> - -<p> -<b>Opmerking:</b> Systemen met Debian 9 (<q>stretch</q>) of ouder -zullen hier <b>niet</b> noodzakelijk updates krijgen, omdat Debian 10 -(<q>buster</q>) de eerste release van Debian was met ingebouwde ondersteuning -voor UEFI Secure Boot. -</p> - -<p> -Er zijn vijf broncodepakketten in Debian die zullen worden bijgewerkt vanwege -de hier beschreven UEFI Secure Boot-wijzigingen: -</p> - -<h2><a name="grub_updates">1. GRUB2</a></h2> - -<p> -Bijgewerkte versies van de GRUB2-pakketten van Debian zijn nu beschikbaar via -het archief debian-security van de stabiele release Debian 10 -(<q>buster</q>). Zeer binnenkort zullen gerepareerde versies voor de -ontwikkelingsversies van Debian (unstable en testing) beschikbaar zijn -in het normale Debian archief. -</p> - -<h2><a name="linux_updates">2. Linux</a></h2> - -<p> -Bijgewerkte versies van de linux-pakketten van Debian zullen binnenkort -beschikbaar zijn via het archief buster-proposed-updates van de stabiele -release Debian 10 (<q>buster</q>) en zullen worden opgenomen in de komende -tussenrelease 10.10. Ook in het Debian-archief voor de ontwikkelingsversies van -Debian (unstable en testing) zullen binnenkort nieuwe pakketten aanwezig zijn. -We hopen tevens binnenkort gerepareerde pakketten te kunnen uploaden naar -buster-backports. -</p> - -<h2><a name="shim_updates">3. Shim en SBAT</a></h2> - -<p> -Met de reeks "BootHole"-bugs was het de eerste keer dat er op grote schaal -sleutels moesten worden ingetrokken in het UEFI Secure Boot-ecosysteem. Het -toonde een ongelukkige ontwerpfout in de intrekking van SB-sleutels: met veel -verschillende Linux-distributies en veel UEFI-binaire bestanden, groeit de -omvang van de intrekkingslijst snel. Veel computersystemen hebben slechts een -beperkte hoeveelheid ruimte voor het opslaan van gegevens over het intrekken -van sleutels, en die zou snel kunnen vollopen en dat systeem op verschillende -manieren onbruikbaar kunnen maken. -</p> - -<p> -Om dit probleem aan te pakken, hebben de ontwikkelaars van shim een methode -bedacht om in de toekomst onveilige UEFI binaire bestanden te blokkeren die -veel meer ruimtebesparend is. Deze methode heet <b>SBAT</b> (<q>Secure Boot -Advanced Targeting</q> - Secure Boot geavanceerde doelgerichtheid). Ze werkt -door het bijhouden van generatienummers van ondertekende programma's. In plaats -van handtekeningen afzonderlijk in te trekken als er problemen worden gevonden, -worden tellers gebruikt om aan te geven dat oude versies van programma's niet -langer als veilig worden beschouwd. Het intrekken van een oude serie van GRUB2 -binaire bestanden (bijvoorbeeld) wordt nu een geval van het bijwerken van een -UEFI-variabele die het generatienummer voor GRUB2 bevat; alle versies van -GRUB2-software die ouder zijn dan dat nummer zullen niet langer als veilig -worden beschouwd. Voor veel meer informatie over SBAT, zie de <a href="https://github.com/rhboot/shim/blob/main/SBAT.md">SBAT-documentatie</a> van shim. -</p> - -<p> -<b>Helaas</b> is deze nieuwe SBAT-ontwikkeling voor shim nog niet helemaal -klaar. Ontwikkelaars waren van plan om nu een nieuwe versie van shim uit te -brengen met deze belangrijke nieuwe functie, maar stuitten op onverwachte -problemen. De ontwikkeling is nog steeds aan de gang. In de hele -Linux-gemeenschap verwachten we zeer binnenkort naar deze nieuwe versie van -shim te kunnen updaten. Totdat die klaar is, zullen we allemaal onze bestaande -ondertekende binaire bestanden van shim blijven gebruiken. -</p> - -<p> -Bijgewerkte versies van Debian's shim-pakketten zullen beschikbaar worden -gesteld zodra dit werk is voltooid. Ze zullen hier en elders worden -aangekondigd. We zullen op dat moment een nieuwe tussenrelease 10.10 publiceren, -en ook nieuwe shim-pakketten uitbrengen voor de ontwikkelingsversies van Debian -(unstable en testing). -</p> - -<h2><a name="fwupdate_updates">4. Fwupdate</a></h2> - -<p> -Bijgewerkte versies van de fwupdate-pakketten van Debian zullen binnenkort via -buster-proposed-updates beschikbaar zijn voor de stabiele release Debian 10 -(<q>buster</q>) en deze zullen opgenomen worden in de komende tussenrelease -10.10. Reeds een tijd geleden werd fwupdate verwijderd uit unstable en testing -ten gunste van fwupd. -</p> - -<h2><a name="fwupd_updates">5. Fwupd</a></h2> - -<p> -Bijgewerkte versies van de fwupd-pakketten van Debian zullen binnenkort via -buster-proposed-updates beschikbaar zijn voor de stabiele release Debian 10 -(<q>buster</q>) en deze zullen opgenomen worden in de komende tussenrelease -10.10. Er zijn ook nieuwe pakketten in het archief van Debian voor de -ontwikkelingsversies van Debian (unstable en testing). -</p> - -<h2><a name="key_updates">6. Sleutels</a></h2> - -<p> -Debian heeft nieuwe ondertekeningssleutels en certificaten gegenereerd voor zijn Secure Boot-pakketten. Vroeger gebruikten we één certificaat voor al onze pakketten: -</p> - -<ul> - <li>Debian Secure Boot Ondertekening 2020 - <ul> - <li>(vingerafdruk <code>3a91a54f9f46a720fe5bbd2390538ba557da0c2ed5286f5351fe04fff254ec31)</code></li> - </ul></li> -</ul> - -<p> -Wij zijn nu overgeschakeld op het gebruik van afzonderlijke sleutels en -certificaten voor elk van de vijf verschillende broncodepakketten, om in de -toekomst meer flexibiliteit te hebben: -</p> - -<ul> - <li>Debian Secure Boot Ondertekening 2021 - fwupd - <ul> - <li>(vingerafdruk <code>309cf4b37d11af9dbf988b17dfa856443118a41395d094fa7acfe37bcd690e33</code>)</li> - </ul></li> - <li>Debian Secure Boot Ondertekening 2021 - fwupdate - <ul> - <li>(vingerafdruk <code>e3bd875aaac396020a1eb2a7e6e185dd4868fdf7e5d69b974215bd24cab04b5d</code>)</li> - </ul></li> - <li>Debian Secure Boot Ondertekening 2021 - grub2 - <ul> - <li>(vingerafdruk <code>0ec31f19134e46a4ef928bd5f0c60ee52f6f817011b5880cb6c8ac953c23510c</code>)</li> - </ul></li> - <li>Debian Secure Boot Ondertekening 2021 - linux - <ul> - <li>(vingerafdruk <code>88ce3137175e3840b74356a8c3cae4bdd4af1b557a7367f6704ed8c2bd1fbf1d</code>)</li> - </ul></li> - <li>Debian Secure Boot Ondertekening 2021 - shim - <ul> - <li>(vingerafdruk <code>40eced276ab0a64fc369db1900bd15536a1fb7d6cc0969a0ea7c7594bb0b85e2</code>)</li> - </ul></li> -</ul> - -<h1><a name="buster_point_release">Tussenrelease Debian 10.10 (<q>buster</q>), -bijgewerkte installatie- en live-media</a></h1> - -<p> -Het is de bedoeling dat alle hier beschreven oplossingen opgenomen worden in de -tussenrelease Debian 10.10 (<q>buster</q>), welke voor binnenkort voorzien is. -Om die reden zal 10.10 een goede keuze zijn voor gebruikers die op zoek zijn -naar Debian installatie- en live-media. Het is mogelijk dat eerdere versies -niet langer zullen werken met Secure Boot wanneer de intrekkingen van de -sleutels uitgevoerd worden. -</p> - -<h1><a name="more_info">Meer informatie</a></h1> - -<p> -Veel meer informatie over hoe UEFI Secure Boot opgezet is in Debian, is te -vinden in de wiki-pagina's van Debian - zie -<a href="https://wiki.debian.org/SecureBoot">https://wiki.debian.org/SecureBoot</a>.</p> - -<p> -Andere informatiebronnen over dit onderwerp zijn onder meer: -</p> - -<ul> - <li><a href="https://access.redhat.com/security/vulnerabilities/RHSB-2021-003">Artikel van Red - Hat over de kwetsbaarheid</a></li> - <li><a href="https://www.suse.com/support/kb/doc/?id=000019892">Advies van - SUSE</a></li> - <li><a href="https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass2021">Artikel van Ubuntu - over beveiliging</a></li> -</ul> diff --git a/dutch/security/2021/Makefile b/dutch/security/2021/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2021/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2021/index.wml b/dutch/security/2021/index.wml deleted file mode 100644 index c826a312337..00000000000 --- a/dutch/security/2021/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="6924311eff583467dfc63d4affd3eca6c37ec5be" -<define-tag pagetitle>Beveiligingsaanbevelingen van 2021</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2021', '', 'dsa-\d+' ) :> - -<p>U kunt de recentste beveiligingsaanbevelingen van Debian verkrijgen door in te -tekenen op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2021/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/2022/Makefile b/dutch/security/2022/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2022/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2022/index.wml b/dutch/security/2022/index.wml deleted file mode 100644 index 358b4774f00..00000000000 --- a/dutch/security/2022/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="c427ae58768f49e24a1c6866e719648dc7078e1a" -<define-tag pagetitle>Beveiligingsaanbevelingen van 2022</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2022', '', 'dsa-\d+' ) :> - -<p>U kunt de recentste beveiligingsaanbevelingen van Debian verkrijgen door in te -tekenen op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2022/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/2023/Makefile b/dutch/security/2023/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/2023/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/2023/index.wml b/dutch/security/2023/index.wml deleted file mode 100644 index b9eb6e4b453..00000000000 --- a/dutch/security/2023/index.wml +++ /dev/null @@ -1,13 +0,0 @@ -#use wml::debian::translation-check translation="3ea1ca0c202829c45394f7e5667bb4d0c08a2cdd" -<define-tag pagetitle>Beveiligingsaanbevelingen van 2023</define-tag> -#use wml::debian::template title="<pagetitle>" GEN_TIME="yes" -#use wml::debian::recent_list - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/2023', '', 'dsa-\d+' ) :> - -<p>U kunt de recentste beveiligingsaanbevelingen van Debian verkrijgen door in te -tekenen op onze mailinglijst -<a href="https://lists.debian.org/debian-security-announce/">\ -<strong>debian-security-announce</strong></a>. -U kunt ook <a href="https://lists.debian.org/debian-security-announce/debian-security-announce-2023/">\ -bladeren in de archieven</a> van de lijst.</p> diff --git a/dutch/security/key-rollover/Makefile b/dutch/security/key-rollover/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/key-rollover/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/key-rollover/index.wml b/dutch/security/key-rollover/index.wml deleted file mode 100644 index 70c770daf91..00000000000 --- a/dutch/security/key-rollover/index.wml +++ /dev/null @@ -1,556 +0,0 @@ -#use wml::debian::template title="Sleutels overzetten" -#use wml::debian::translation-check translation="5011f532637dc7820b79b151eecfda4ab65aa22f" - -<p> -In het <a href="$(HOME)/security/2008/dsa-1571">beveiligingsadvies 1571 van Debian</a>, heeft het veiligheidsteam van Debian een zwakte onthuld in de generator van willekeurige getallen die gebruikt wordt door OpenSSL op Debian en zijn derivaten. Als gevolg van deze zwakte komen bepaalde encryptiesleutels veel vaker voor dan het geval zou moeten zijn, zodat een aanvaller met minimale kennis van het systeem de sleutel kan raden via een aanval met brute kracht. Dit heeft vooral gevolgen voor het gebruik van encryptiesleutels in OpenSSH, OpenVPN en SSL-certificaten. -</p> - -<p> -Op deze pagina wordt beschreven hoe u de procedures voor het overzetten van sleutels uitvoert voor pakketten waarvan de sleutels zijn aangetast door de OpenSSL-kwetsbaarheid. -</p> - -<ul> -<li><b><a href="#openssh">OpenSSH</a></b></li> -<li><b><a href="#openssl">OpenSSL: Algemene instructies voor het genereren van PEM-sleutels</a></b></li> - -<li><a href="#bincimap">bincimap</a></li> -<li><a href="#boxbackup">boxbackup</a></li> -<li><a href="#cryptsetup">cryptsetup</a></li> -<li><a href="#dropbear">dropbear</a></li> -<li><a href="#ekg">ekg</a></li> -<li><a href="#ftpd-ssl">ftpd-ssl</a></li> -<li><a href="#gforge">gforge</a></li> -<li><a href="#kerberos">MIT Kerberos (krb5)</a></li> -<li><a href="#nessus">Nessus</a></li> -<li><a href="#openswan">OpenSWAN / StrongSWAN</a></li> -<li><a href="#openvpn">OpenVPN</a></li> -<li><a href="#proftpd">Proftpd</a></li> -<li><a href="#puppet">puppet</a></li> -<li><a href="#sendmail">sendmail</a></li> -<li><a href="#ssl-cert">ssl-cert</a></li> -<li><a href="#telnetd-ssl">telnetd-ssl</a></li> -<li><a href="#tinc">tinc</a></li> -<li><a href="#tor">tor</a></li> -<li><a href="#xrdp">xrdp</a></li> -</ul> - -<p> -Nog andere software maakt gebruik van cryptografische sleutels, maar is <a href="notvuln">niet kwetsbaar</a> omdat OpenSSL niet wordt gebruikt om sleutels te genereren of uit te wisselen. -</p> - -<ul> -<li><a href="notvuln#ckermit">ckermit</a></li> -<li><a href="notvuln#gnupg">GnuPG</a></li> -<li><a href="notvuln#iceweasel">Iceweasel</a></li> -<li><a href="notvuln#mysql">MySQL</a></li> -</ul> - -<p> -Voor instructies voor het overzetten van sleutels voor andere software, wilt u misschien de door gebruikers ingediende informatie raadplegen op <url https://wiki.debian.org/SSLkeys> -</p> - -<h1><a name="openssh">OpenSSH</a></h1> - -<p> -Er is een bijgewerkt pakket uitgebracht via -<a href="$(HOME)/security/2008/dsa-1576">DSA-1576</a>, dat sleutelomzetting vergemakkelijkt. -</p> - -<p>1. Installeer de beveiligingsupdates uit DSA-1576</p> - - <p>Zodra de update is toegepast, worden zwakke gebruikerssleutels waar mogelijk automatisch geweigerd (hoewel ze niet in alle gevallen kunnen worden gedetecteerd). Als u dergelijke sleutels gebruikt voor gebruikersauthenticatie, werken ze onmiddellijk niet meer en moeten ze worden vervangen (zie stap 3).</p> - - <p>OpenSSH-computersleutels kunnen automatisch worden geregenereerd wanneer de OpenSSH-beveiligingsupdate wordt toegepast. De update vraagt om bevestiging voordat deze stap wordt uitvoerd.</p> - -<p>2. Werk de known_hosts-bestanden van OpenSSH bij</p> - - <p>Het vernieuwen van computersleutels veroorzaakt een waarschuwing bij het verbinden met het systeem via SSH totdat de computersleutel is bijgewerkt in het bestand known_hosts op de client. De waarschuwing ziet er als volgt uit:</p> - -<pre> -@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ -@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ -@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ -IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! -Someone could be eavesdropping on you right now (man-in-the-middle attack)! -It is also possible that the RSA host key has just been changed. -</pre> - -<pre> -@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ -@ WAARSCHUWING: IDENTIFICATIE EXTERNE COMPUTER IS VERANDERD! @ -@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ -HET IS MOGELIJK DAT IEMAND IETS SLECHTS DOET! -Iemand zou u op dit moment kunnen afluisteren (man-in-the-middle-aanval)! -Het is ook mogelijk dat de RSA-computersleutel zojuist is gewijzigd. -</pre> - - <p>In dit geval is de computersleutel gewoon gewijzigd, en moet u het relevante bestand known_hosts bijwerken zoals aangegeven in het waarschuwingsbericht. - - Het wordt aanbevolen een betrouwbaar kanaal te gebruiken om de serversleutel uit te wisselen. Deze is te vinden in het bestand /etc/ssh/ssh_host_rsa_key.pub op de server; de vingerafdruk ervan kan worden afgedrukt met het commando: -</p> - - <p>ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub</p> - - <p>Naast de gebruikersspecifieke known_hosts-bestanden kan er ook een systeembreed bestand /etc/ssh/ssh_known_hosts bestaan. Dit bestand wordt zowel door de ssh-client als door sshd gebruikt voor de functionaliteit hosts.equiv. Ook dit bestand moet worden bijgewerkt. -</p> - -<p>3. Controleer alle OpenSSH-gebruikerssleutels</p> - - <p>De veiligste manier van handelen is om alle OpenSSH-gebruikerssleutels opnieuw te genereren, behalve wanneer met een voldoende hoge mate van zekerheid kan worden vastgesteld dat de sleutel werd gegenereerd op een niet-getroffen systeem. -</p> - - <p>Controleer of uw sleutel is aangetast door het hulpprogramma ssh-vulnkey uit te voeren, dat is opgenomen in de beveiligingsupdate. Standaard controleert ssh-vulnkey de standaardlocatie voor gebruikerssleutels (~/.ssh/id_rsa, ~/.ssh/id_dsa en ~/.ssh/identity), uw bestand authorized_keys (~/.ssh/authorized_keys en ~/.ssh/authorized_keys2), en de computersleutels van het systeem (/etc/ssh/ssh_host_dsa_key en /etc/ssh/ssh_host_rsa_key). -</p> - - <p>Om al uw eigen sleutels te controleren, ervan uitgaande dat ze zich op de standaardlocaties bevinden (~/.ssh/id_rsa, ~/.ssh/id_dsa of ~/.ssh/identity): -</p> - - <p>ssh-vulnkey</p> - - <p>Om alle sleutels op uw systeem te controleren:</p> - - <p>sudo ssh-vulnkey -a</p> - - <p>Om een sleutel op een niet-standaard locatie te controleren:</p> - - <p>ssh-vulnkey /path/to/key</p> - - <p>Als ssh-vulnkey zegt <q>Unknown (no blacklist information)</q> (Onbekend - geen informatie wat de zwarte lijst betreft), dan heeft het geen informatie over of die sleutel is aangetast. Vernietig in geval van twijfel de sleutel en maak een nieuwe aan. - </p> - -<p>4. Maak alle getroffen gebruikerssleutels opnieuw aan</p> - - <p>OpenSSH-sleutels die worden gebruikt voor gebruikersauthenticatie moeten handmatig opnieuw worden gegenereerd, inclusief sleutels die mogelijk naar een ander systeem zijn overgebracht nadat ze waren gegenereerd. -</p> - - <p>Nieuwe sleutels kunnen worden gegenereerd met ssh-keygen, bijv:</p> - - <pre> - $ ssh-keygen - Generating public/private rsa key pair. - (Genereren van publiek/privaat rsa sleutelpaar.) - Enter file in which to save the key (/home/user/.ssh/id_rsa): - (Voer het bestand in waarin de sleutel moet worden opgeslagen (/home/user/.ssh/id_rsa):) - Enter passphrase (empty for no passphrase): - (Voer wachtwoordzin in (leeg voor geen wachtwoordzin):) - Enter same passphrase again: - (Voer dezelfde wachtwoordzin opnieuw in:) - Your identification has been saved in /home/user/.ssh/id_rsa. - (Uw identificatie werd opgeslagen in /home/user/.ssh/id_rsa.) - Your public key has been saved in /home/user/.ssh/id_rsa.pub. - (Uw publieke sleutel is opgeslagen in /home/user/.ssh/id_rsa.pub.) - The key fingerprint is: - (De vingerafdruk van de sleutel is:) - 00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 user@host - (00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 gebruiker@computer) - </pre> - -<p>5. Werk de bestanden authorized_keys bij (indien nodig)</p> - - <p>Zodra de gebruikerssleutels zijn geregenereerd, moeten de relevante publieke sleutels worden doorgegeven aan alle authorized_keys-bestanden (en authorized_keys2-bestanden, indien van toepassing) op externe systemen. Vergeet niet de aangetaste sleutel te verwijderen. -</p> - -<h1><a name="openssl">OpenSSL: algemene instructies voor het genereren van PEM-sleutels</a></h1> - -<p> -Dit is slechts een herinnering voor degenen die PEM-gecodeerde certificaten (her)genereren. Uw site heeft waarschijnlijk andere beleidsregels over het beheer van sleutels die u moet volgen. Bovendien moet u de certificaten mogelijk opnieuw laten ondertekenen door een externe certificeringsinstantie in plaats van een door uzelf ondertekend certificaat te gebruiken, zoals hieronder weergegeven: -</p> - -<pre> -cd /etc/ssl/private -openssl genrsa 1024 > mijnsite.pem -cd /etc/ssl/certs -openssl req -new -key ../private/mysite.pem -x509 -days 9999 -out mijnsite.pem -</pre> - -<h1><a name="bincimap">bincimap</a></h1> - -<p> -Het bincimap-pakket maakt automatisch een zelfondertekend certificaat aan via het openssl-programma voor de bincimap-ssl-service en plaatst dit in /etc/ssl/certs/imapd.pem. Voer het volgende uit om te regenereren: -</p> - -<pre> -rm -f /etc/ssl/certs/imapd.pem -dpkg-reconfigure bincimap -</pre> - -<h1><a name="boxbackup">boxbackup</a></h1> - -<p> -Boxbackup is niet aanwezig in Debian stable, alleen in testing/Lenny -</p> - -<p> -De bovenstroomse ontwikkelaar heeft een eerste impactanalyse gepubliceerd van sleutelmateriaal dat gemaakt werd op systemen met onvoldoende willekeurige PRNG. U kunt de details lezen -<a href="http://lists.warhead.org.uk/pipermail/boxbackup/2008-May/004476.html">op deze plaats</a>. -</p> - -<p> -Als de PRNG in uw OpenSSL onvoldoende willekeurig was, moet u: -</p> - -<ul> -<li>Alle getroffen certificaten die zijn gegenereerd of ondertekend op een getroffen systeem, opnieuw genereren</li> -<li>Alle gegevenssleutels (*-FileEncKeys.raw) opnieuw genereren</li> -<li>De gegevens op uw server op een passend beveiligingsniveau vernietigen (op zijn minst overschrijven met nullen, meer als u paranoïde bent)</li> -<li>Alles opnieuw uploaden</li> -<li>Passende maatregelen nemen, ervan uitgaande dat uw gegevens zonder authenticatie in platte tekst op een openbare server opgeslagen geweest zijn. (d.w.z. helemaal opnieuw beginnen, alle sporen van de back-upgegevens vernietigen en andere maatregelen nemen om het blootgeven van uw vertrouwelijke gegevens te verminderen)</li> -</ul> - -<h1><a name="cryptsetup">cryptsetup</a></h1> - -<p> -Cryptsetup zelf gebruikt geen openssl voor encryptie (dit geldt zowel voor apparaten met LUKS als met dm-crypt). -</p> - -<p> -<em>Als</em> cryptsetup is geconfigureerd om met SSL geëncrypteerde sleutelbestanden te gebruiken (een niet-standaard instelling die expliciet door de gebruiker moet worden geconfigureerd) en er een defecte versie van openssl is gebruikt om het sleutelbestand te genereren, kan de encryptie van het sleutelbestand zwakker zijn dan verwacht (aangezien de salt / het zout niet echt willekeurig is). -</p> - -<p> -De oplossing is om het sleutelbestand opnieuw te encrypteren (als u er redelijk zeker van bent dat de geëncrypteerde sleutel niet aan derden is vrijgegeven) of om de getroffen partitie(s) te wissen en opnieuw te installeren met een nieuwe sleutel. -</p> - -<p> -Instructies voor het opnieuw encrypteren van een sleutelbestand: -</p> - -<p> -Doe het volgende voor elk met SSL geëncrypteerd sleutelbestand, en vervang <ssl_encrypted_key_path> door het pad naar het eigenlijke sleutelbestand: -</p> - -<pre> -tmpkey=\$(tempfile) -openssl enc -aes-256-cbc -d -salt -in <ssl_encrypted_key_path> -out "$tmpkey" -shred -uz <ssl_encrypted_key_path> -openssl enc -aes-256-cbc -e -salt -in "$tmpkey" -out <ssl_encrypted_key_path> -shred -uz "$tmpkey" -</pre> - -<h1><a name="dropbear">dropbear</a></h1> - -<p> -Als u sleutels heeft van het type /etc/ssh/*host*, verwijder deze dan, of volg eerst de <a href="#openssh">instructies voor openssh</a> voordat u de sleutels van dropbear bijwerkt. -</p> - -<p> -Het script postinst van Dropbear converteert bestaande openssh-sleutels naar de door dropbear gebruikte indeling als het de computersleutels van dropbear niet kan vinden. -</p> - -<pre> -rm /etc/dropbear/*_host_key -dpkg-reconfigure dropbear -</pre> - -<p> -Merk op dat sleutels die zijn gegenereerd door Dropbear zelf niet kwetsbaar zijn (het gebruikt libtomcrypt in plaats van OpenSSL). -</p> - -<h1><a name="ekg">ekg</a></h1> - -<p> -Gebruikers van programma's ekg en ekg2 (het laatste is alleen aanwezig in experimental) welke gebruik maken van de encryptiefunctionaliteit <q>SIM</q>, die een sleutelpaar hebben gegenereerd met behulp van het commando <q>/key [-g|--generate]</q> (dat libssl gebruikt om het werk te doen) zouden de sleutels opnieuw moeten genereren na het upgraden van libssl en het herstarten van het programma. -</p> - -<p> -De bovenstroomse ontwikkelaars hebben een bericht op hun website geplaatst: -<a href="http://ekg.chmurka.net/index.php">http://ekg.chmurka.net/index.php</a> -</p> - -<p> -Als u meer hulp nodig heeft, vraag die dan op ekg-users@lists.ziew.org of ekg2-users@lists.ziew.org (zowel Engels als Pools). -</p> - -<h1><a name="ftpd-ssl">ftpd-ssl</a></h1> - -<pre> -rm -f /etc/ftpd-ssl/ftpd.pem /etc/ssl/certs/ftpd.pem -dpkg-reconfigure ftpd-ssl -</pre> - -<p> -Dit geldt voor de standaardinstelling. Als de lokale beheerder verdere SSL-infrastructuur heeft opgezet, moeten deze sleutels ook opnieuw worden gegenereerd. -</p> - -<h1><a name="gforge">gforge</a></h1> - -<p> -Het pakket gforge-web-apache2 in sid en lenny zet de website op met een dummycertificaat als er geen bestaand certificaat wordt gevonden. Gebruikers worden dan aangemoedigd om het te vervangen door een <q>echt</q> exemplaar. Het dummy-certificaat in kwestie is het Snake Oil-certificaat, dus het zou al bekend moeten staan als een zwak certificaat (zelfs zonder de SSL-bug), maar sommige gebruikers accepteren het misschien zonder erbij na te denken. -</p> - -<h1><a name="kerberos">MIT Kerberos (krb5)</a></h1> - -<p> -Geen enkel onderdeel van MIT Kerberos in Debian 4.0 (<q>Etch</q>) maakt gebruik van OpenSSL, en dus is Kerberos in Debian 4.0 helemaal niet aangetast. -</p> - -<p> -In Lenny maakt het aparte binaire pakket krb5-pkinit gebruik van OpenSSL. MIT Kerberos zelf genereert geen sleutelparen, zelfs niet wanneer de plug-in PKINIT wordt gebruikt, dus eventuele kwetsbare sleutelparen voor de lange termijn zouden buiten de software van MIT Kerberos om zijn gegenereerd. De plug-in PKINIT verwijst alleen naar bestaande sleutelparen en is niet verantwoordelijk voor sleutelbeheer. -</p> -<p> -Sleutelparen voor de lange termijn die gebruikt worden met PKINIT kunnen aangetast zijn als ze werden aangemaakt op een aangetast Debian-systeem, maar een dergelijke aanmaak gebeurt buiten MIT Kerberos om. -</p> -<p> -De willekeurige sleutelfuncties van OpenSSL worden echter gebruikt voor de DH-uitwisseling wanneer PKINIT-authenticatie wordt gebruikt, wat betekent dat een aanvaller brute kracht kan gebruiken om toegang te krijgen tot het KDC-antwoord op een PKINIT-authenticatie en vervolgens toegang kan krijgen tot alle sessies die zijn aangemaakt met behulp van servicetickets van die authenticatie. -</p> -<p> -Alle KDC's die de plug-in PKINIT van Lenny gebruiken, moeten hun pakket libssl0.9.8 onmiddellijk laten upgraden en de Kerberos KDC herstarten met: -</p> -<pre> -/etc/init.d/krb5-kdc restart -</pre> -<p> -Alle Kerberos ticket-granting tickets (TGT's) of versleutelde sessies die het resultaat zijn van PKINIT-authenticatie met behulp van een Kerberos KDC met het aangetaste libssl moeten als verdacht worden behandeld; het is mogelijk dat aanvallers met pakketafvangeers deze sleutels en sessies kunnen compromitteren. -</p> - -<h1><a name="nessus">Nessus</a></h1> - -<p>Het post-installatiescript van het Nessus-serverpakket (nessusd) maakt enkele SSL-sleutels aan voor veilige communicatie tussen een Nessus-server en client. Dat communicatiekanaal moet als gecompromitteerd worden beschouwd, aangezien een malafide gebruiker in staat zou kunnen zijn om de informatie die wordt uitgewisseld tussen de server en de client (inclusief informatie over kwetsbaarheden op externe computers) te onderscheppen en mogelijk opdrachten naar de servers te sturen als de ingelogde gebruiker. -</p> - -<p>Bovendien, als de beheerder de Nessus CA-sleutel of een gebruikerscertificaat (met nessus-mkcert-client) heeft gemaakt voor externe authenticatie op een server waarop de OpenSSL-versie was geïnstalleerd waarop dit beveiligingsprobleem betrekking heeft, moeten die sleutels als gecompromitteerd worden beschouwd. Merk op dat externe gebruikers met toegang tot de Nessus-server aanvallen kunnen lanceren op de servers die ze mogen aanvallen en, indien ingeschakeld in de lokale configuratie (in Debian is dit standaard <q>no</q>), plug-ins kunnen uploaden die zouden worden uitgevoerd op de Nessus-server met systeembeheerdersrechten. -</p> - -<p>De configuratiescripts van de pakketbeheerder zullen de OpenSSL-certificaten opnieuw genereren wanneer dit geconfigureerd is wanneer deze niet kunnen worden gevonden. U moet de certificaten verwijderen en nieuwe laten genereren met:</p> - -<pre> -rm -f /var/lib/nessus/CA/cacert.pem -rm -f /var/lib/nessus/CA/servercert.pem -rm -f /var/lib/nessus/private/CA/cakey.pem -rm -f /var/lib/nessus/private/CA/serverkey.pem -dpkg-reconfigure nessusd -</pre> - -<p>Zodra dit gebeurd is moet u de oude gebruikerssleutels verwijderen in /var/lib/nessus/users/GEBRUIKERSNAAM/auth en ze opnieuw genereren met nessus-mkcert-client. Oude sleutels zijn ongeldig zodra de CA-sleutel is verwijderd. -</p> - -<p>Nadat de CA-sleutel opnieuw is gegenereerd, moet u ook het nieuwe CA-certificaat naar uw gebruikers verspreiden, en uw gebruikers moeten het nieuwe certificaat van de Nessus-server accepteren zodra ze opnieuw verbinding maken. Certificaatinstellingen voor de oude server zouden automatisch moeten worden verwijderd, maar u kunt ze ook handmatig verwijderen door <code>.nessusrc.cert</code> (bij gebruik van de Nessus-client) of <code>.openvasrc.cert</code> (bij gebruik van de OpenVAS-client) te bewerken.. -</p> - - -<h1><a name="openswan">OpenSWAN / StrongSWAN</a></h1> - -<pre> -rm /etc/ipsec.d/private/`hostname`Key.pem /etc/ipsec.d/certs/`hostname`Cert.pem -dpkg-reconfigure (open|strong)swan -/etc/init.d/ipsec restart -</pre> - -<p> -Pas op: Het herstarten van de ipsec-diensten beëindigt alle momenteel openstaande IPSec-verbindingen, die mogelijk opnieuw gestart moeten worden vanaf de andere kant. -</p> - -<h1><a name="openvpn">OpenVPN</a></h1> - -<p> -Maak een back-up van uw geheime sleutelbestanden. Hoewel sleutelnamen willekeurig zijn, kunnen ze worden gedetecteerd door het uitvoeren van -</p> -<pre>grep secret /etc/openvpn/*.conf</pre> - -<p> -Maak ze opnieuw aan met -</p> -<pre>openvpn --genkey --secret BESTANDSNAAM_GEHEIME_SLEUTELS</pre> - -<p> -Kopieer vervolgens de gedeelde geheime sleutels naar de externe computers en herstart de VPN op elke computer met -</p> -<pre>/etc/init.d/openvpn force-reload</pre> - -<h1><a name="proftpd">Proftpd</a></h1> - -<p> -De verpakking van dit programma in Debian voorziet geen aanmaak van sleutels, dus de volgende stappen zijn alleen nodig als er extern SSL-sleutels zijn aangemaakt. -</p> - -<p> -Een toekomsitge upload van proftpd naar unstable zal een tls.conf-sjabloon bevatten met onderstaande opmerking. -</p> - -<p> -Merk op dat het genereren van een zelfondertekend certificaat een beetje afwijkt van wat in de algemene openssl sectie wordt voorgesteld, om het gebruik van een expliciet wachtwoord bij het opstarten van de achtergronddienst te vermijden. -</p> - -<p> -U kunt een zelfondertekend certificaat (opnieuw) genereren met een commando als: -</p> -<pre> - openssl req -x509 -newkey rsa:1024 \ - -keyout /etc/ssl/private/proftpd.key -out /etc/ssl/certs/proftpd.crt \ - -nodes -days 365 -</pre> - -<p> -Beide bestanden mogen alleen door root gelezen kunnen worden. De bestandspaden kunnen worden gecontroleerd/geconfigureerd via de volgende configuratierichtlijnen: -</p> -<pre> -TLSRSACertificateFile /etc/ssl/certs/proftpd.crt -TLSRSACertificateKeyFile /etc/ssl/private/proftpd.key -TLSCACertificateFile /etc/ssl/certs/CA.pem -TLSOptions NoCertRequest -</pre> - -<h1><a name="puppet">puppet</a></h1> - -<p> -Er zijn twee methoden om met puppet-certificaten om te gaan, de ene is via capistrano, de tweede is handmatig. -</p> - -<p> -Het opnieuw genereren van Puppet SSL-Certificaten met behulp van capistrano wordt hier beschreven: -<a href="http://reductivelabs.com/trac/puppet/wiki/RegenerateSSL">http://reductivelabs.com/trac/puppet/wiki/RegenerateSSL</a> -</p> - -<p> -De handmatige stappen zijn de volgende: -</p> - -<ol> -<li>U moet uw CA-info wissen en opnieuw genereren: -<pre> -/etc/init.d/puppetmaster stop -rm -rf $vardir/ssl/* -/etc/init.d/puppetmaster start -</pre> -<p> -Als u echter mongrel gebruikt, moet u in plaats van puppetmaster te starten vanuit het init-script, eerst het frontend programma dat op het web luistert (apache, nginx, enz.) stoppen en dan het volgende doen: -</p> -<pre> -puppetmasterd --daemonize ; sleep 30 ; pkill -f 'ruby /usr/sbin/puppetmasterd' -</pre> -<p> -Het bovenstaande is nodig omdat om de een of andere reden puppetmaster zijn CA niet regenereert wanneer het met mongrel werkt. -</p> -</li> -<li>Wis alle clientcertificaten -<pre> -/etc/init.d/puppet stop -rm $vardir/ssl/* -</pre> -</li> -<li>Laat elke client een nieuw certificaat aanvragen: -<pre> -puppetd --onetime --debug --ignorecache --no-daemonize -</pre> -</li> -<li>Zodra alle aanvragen binnen zijn, kunt u ze allemaal tegelijk ondertekenen: -<pre> -puppetca --sign --all -</pre> -</li> -<li>Start uw puppet-clients op: -<pre> -/etc/init.d/puppet start -</pre> -</li> -</ol> - -<p> -U zou ook tijdelijk automatisch ondertekenen kunnen inschakelen, als u dat goed vindt. -</p> - -<h1><a name="sendmail">sendmail</a></h1> - -<p> -Sendmail (zowel in Etch als in Lenny) maakt facultatief standaard OpenSSL-certificaten aan bij de installatie. -</p> - -<p> -De procedure voor het omzetten van de sleutels is triviaal: -</p> -<pre> -/usr/share/sendmail/update_tls new -</pre> - -<p> -Als u de sjablonen in /etc/mail/tls hebt aangepast, zullen die waarden opnieuw worden gebruikt om de nieuwe certificaten te maken. -</p> - -<h1><a name="ssl-cert">ssl-cert</a></h1> - -<p> -Het snakeoil-certificaat /etc/ssl/certs/ssl-cert-snakeoil.pem kan opnieuw worden gemaakt met: -</p> - -<pre>make-ssl-cert generate-default-snakeoil --force-overwrite</pre> - -<h1><a name="telnetd-ssl">telnetd-ssl</a></h1> - -<pre> -rm -f /etc/telnetd-ssl/telnetd.pem /etc/ssl/certs/telnetd.pem -dpkg-reconfigure telnetd-ssl -</pre> - -<p> -Dit geldt voor de standaardopstelling. Als de lokale beheerder verdere SSL-infrastructuur heeft opgezet, moeten deze sleutels ook opnieuw worden gegenereerd. -</p> - -<h1><a name="tinc">tinc</a></h1> - -<p> -Verwijder alle verdachte bestanden met openbare en private sleutels: -</p> -<ol> -<li>Verwijder rsa_key.priv.</li> -<li>Bewerk alle bestanden in de map hosts/ en verwijder de blokken met openbare sleutels.</li> -</ol> - -<p> -Genereer een nieuw publiek/privaat sleutelpaar: -</p> -<pre> -tincd -n <netname> -K -</pre> - -<p> -Wissel het configuratiebestand op uw computer met de nieuwe publieke sleutel uit met andere leden van uw VPN. Vergeet niet uw tinc-achtergronddiensten te herstarten. -</p> - -<h1><a name="tor">tor</a></h1> - -<p> -Tor is niet in stable, maar aangetast in Lenny. -</p> - -<p> -Clients die versie 0.1.2.x gebruiken, zijn niet aangetast. Elke versie van Tor-knooppunten of verborgen dienstverleners, alsook iedereen die versie 0.2.0.x gebruikt, is wel aangetast. -</p> - -<p> -Raadpleeg de -<a href="http://archives.seul.org/or/announce/May-2008/msg00000.html">aankondiging van de kwetsbaarheid</a> in de mailinglijst met Tor-aankondigingen. -</p> - -<p> -Het wordt aanbevolen om op te waarderen naar versie 0.1.2.19-3 (beschikbaar in testing, unstable, backports.org en in -de gebruikelijke <a -href="https://wiki.torproject.org/noreply/TheOnionRouter/TorOnDebian">noreply.org-pakketbron</a>) of versie 0.2.0.26-rc-1 (beschikbaar in experimental en in de gebruikelijke <a -href="https://wiki.torproject.org/noreply/TheOnionRouter/TorOnDebian">noreply.org-pakketbron</a>). Als u een relais bent, dwingen deze versies het genereren van nieuwe serversleutels (/var/lib/tor/keys/secret_*) af. -</p> - -<p> -Als u een Tor-knooppunt bent zonder gebruik te maken van de infrastructuur van het pakket (gebruiker debian-tor, /var/lib/tor als DataDirectory, enz.), moet u handmatig slechte sleutels verwijderen. Zie de hierboven geplaatste link naar het advies. -</p> - -<p> -Als u een verborgen dienstverlener bent, en uw sleutel in de betrokken periode hebt aangemaakt met een slechte libssl, verwijder dan alstublieft de privésleutel van uw verborgen dienst. Dit zal de computernaam van uw verborgen dienst veranderen en het kan nodig zijn uw servers opnieuw te configureren. -</p> - -<p> -Indien u versie 0.2.0.x gebruikt, is een upgrade ten stelligste aanbevolen — 3 van de 6 v3 autoriteitsservers hebben gecompromitteerde sleutels. Oude 0.2.0.x-versies zullen over een tweetal weken stoppen met werken. -</p> - -<h1><a name="xrdp">xrdp</a></h1> - -<p> -xrdp gebruikt gegenereerde sleutels. De meeste clients controleren die sleutels niet standaard, daarom is het veranderen ervan pijnloos. U hoeft alleen maar het volgende te doen: -</p> - -<pre> -rm /etc/xrdp/rsakeys.ini -/etc/init.d/xrdp restart -</pre> - -<p> -xrdp is niet in stable. -</p> diff --git a/dutch/security/undated/Makefile b/dutch/security/undated/Makefile deleted file mode 100644 index 70672d5f5f8..00000000000 --- a/dutch/security/undated/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/dutch,webwml/english,$(CURDIR))/Makefile diff --git a/dutch/security/undated/index.wml b/dutch/security/undated/index.wml deleted file mode 100644 index 9004531b568..00000000000 --- a/dutch/security/undated/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="Beveiligingsberichten voor eind '97 en begin '98" GEN_TIME="yes" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="118bbba7772258864cea0391dc2fcecd44b8f358" - -# Last Translation Update by: $Author$ -# Last Translation Update at: $Date$ - -<:= get_recent_list ('.', '0', '$(ENGLISHDIR)/security/undated', 'list', '\d+\w*' ) :> - |