path: root/russian/security/faq.wml

#use wml::debian::template title="ЧАВО по безопасности в Debian"
#include "$(ENGLISHDIR)/security/faq.inc"
#use wml::debian::translation-check translation="6e1fa2e1aabb151dc8ce2445ee60cc40675fb927" maintainer="Lev Lamberov"

<maketoc>

<toc-add-entry name=buthow>Я получил рекомендацию по безопасности (DSA) через список рассылки debian-security-announce, как можно обновить уязвимые пакеты?</toc-add-entry>

<p>A: Как сообщается в DSA, вам следует обновить пакеты, подверженные
   указанной уязвимости. Вы можете сделать просто обновив (после
   обновления списка доступных пакетов с помощью <tt>apt-get update</tt>)
   каждый пакет в вашей системе с помощью команды <tt>apt-get upgrade</tt>, либо
   обновов конкретный пакет с помощью команды <tt>apt-get install
   <i>пакет</i></tt>.</p>

<p>В сообщении указывается пакет с исходным кодом, в котором имеется
   уязвимость. Следовательно, вам следует обновить все двоичные пакеты, которые
   создаются из этого пакета с исходным кодом. Чтобы проверить то, какие двоичные пакеты следует обновить,
   обратитесь к <tt>https://packages.debian.org/src:<i>имя-пакета-с-исходным-кодом</i></tt> и
   нажмите на <i>[показать ... двоичные пакеты]</i> для того выпуска, который вы
   обновляете.</p>

<p>Может потребоваться перезапуск сервиса или работающего процесса. Команда
   <a href="https://manpages.debian.org/checkrestart"><tt>checkrestart</tt></a>,
   содержащаяся в пакете
   <a href="https://packages.debian.org/debian-goodies">debian-goodies</a>,
   может помочь вам найти процессы и службы, которые следует перезапустить.</p>


<toc-add-entry name=signature>Подпись вашей рекомендации определяется как некорректная!</toc-add-entry>
<p>A: Скорее всего, проблема с вашей стороны. Список рассылки
   <a href="https://lists.debian.org/debian-security-announce/">\
   debian-security-announce</a> защищён фильтром, пропускающим только
   сообщения с правильной подписью членов команды
   безопасности.</p>

<p>Наиболее вероятно, что программы обработки почты на каком-то этапе
   несколько изменяют сообщение, из-за чего не проходит проверка подписи.
   Проверьте, что ваше программное обеспечение не производит кодирования
   или декодирования MIME или преобразования символов табуляции в пробелы
   или наоборот.</p>

<p>Известными возможными виновниками проблем являются fetchmail (с включенным
   параметром mimedecode), formail (начиная с procmail версии 3.14)
   и evolution.</p>

<toc-add-entry name="handling">Каким образом ведётся работа над безопасностью Debian?</toc-add-entry>
<p>A: После того, как команда безопасности получает уведомление о
   проблеме, один или несколько её членов команды анализируют его, и проверяют,
   затронут ли стабильный выпуск Debian (т.е., уязвим он или нет).
   Если наша система уязвима, мы стараемся исправить ошибку. Также мы
   связываемся с сопровождающим пакета, если он ещё не вышел на связь
   сам. Наконец, обновление тестируется и подготавливаются новые пакеты,
   которые затем компилируются на всех архитектурах стабильного выпуска
   и загружаются на сервер. После того, как всё это проделано, публикуется
   рекомендация.</p>

<toc-add-entry name=oldversion>Почему вы возитесь со старыми версиями пакетов?</toc-add-entry>

<p>Самое главное, что необходимо помнить при создании нового пакета, в котором
   исправлена проблема, связанная с безопасностью, это то, что нужно вносить
   так мало изменений, насколько это возможно. Наши пользователи и
   разработчики рассчитывают на неизменное поведение одного выпуска
   системы, поэтому любые сделанные нами изменения, возможно, обвалят
   чью-то систему. Особенно это относится к библиотекам: удостоверьтесь,
   что вы не меняете ни программный интерфейс приложений (Application
   Program Interface, API), ни двоичный интерфейс приложений (Application
   Binary Interface, ABI), как бы малы ни были эти изменения.</p>

<p>Это означает, что переход к новой версии пакета&nbsp;&mdash; не лучшее
   решение. Вместо этого нужно перенести на старую версию необходимые
   изменения. В основном, если команда безопасности Debian не в состоянии
   справиться с проблемой, разработчики исходного кода, обычно, готовы
   помочь.</p>

<p>В некоторых случаях внедрить исправления в старую версию невозможно, например,
   когда нужно изменить или переписать очень большие куски кода.
   В этом случае переход к новой версии может оказаться вынужденным, но
   это нужно заранее согласовать с командой безопасности.</p>

<toc-add-entry name=version>Номер версии установленного у меня пакета показывает, что пакет
   всё ещё содержит уязвимость!</toc-add-entry>
<p>A: Вместо того, чтобы предлагать обновить пакет до нового выпуска,
   мы переносим исправления, связанные с безопасностью, в версию, включенную
   в стабильный выпуск. Мы делаем это, чтобы убедиться в том, что
   выпуск меняется так мало, насколько это возможно, чтобы система
   в результате обновления не изменила своё поведение и не обрушилась.
   Вы можете проверить, установлена ли у вас безопасная версия пакета,
   прочитав журнал изменений в нём или сравнив точный номер его версии
   с версией, указанной в рекомендации Debian по безопасности.</p>

<toc-add-entry name=archismissing>Я получил рекомендацию по безопасности, но сборка для
  одной процессорной архитектуры, как кажется, отсутствует.</toc-add-entry>
<p>A: Обычно команда безопасности выпускает рекомендацию со сборками обновлённых
   пакетов для всех архитектур, поддерживаемых Debian. Тем не менее, некоторые архитектуры
   более медленны, чем другие, и может так получиться, что сборки для большинства архитектур
   будут готовы, но для некоторых архитектур они будут отсутствовать. Эти архитектуры представляют собой
   небольшую часть от общего количества наших пользователей. В зависимости от срочности проблемы
   мы можем решить выпустить рекомендацию немедленно. Отсутствующие сборки будут
   установлены сразу же как только они будут доступны, но об их установке в архив не будет
   сообщено. Конечно, мы никогда не выпустим рекомендацию, если сборки для i386 или amd64
   не будут готовы.</p>

<toc-add-entry name=unstable>Каким образом ведётся работа над безопасностью
  <tt>нестабильного</tt> выпуска?</toc-add-entry>
<p>A: Работа над безопасностью нестабильного выпуска ведётся в первую очередь сопровождающими пакетов, а
   не командой безопасности Debian. Хотя команда безопасности может загружать
   срочные исправления безопасности, если известно, что сопровождающий
   неактивен, поддержка стабильного выпуска всегда будет иметь более высокий приоритет.
   Если вы хотите иметь безопасный (и стабильный) сервер, мы настоятельно рекомендуем вам
   использовать стабильный выпуск.</p>

<toc-add-entry name=testing>Каким образом ведётся работа над безопасностью
  <tt>тестируемого</tt> выпуска?</toc-add-entry>
<p>A: Работа над безопасностью тестируемого выпуска зависит от работы над безопасностью, выполняемой
   всем Проектом для нестабильного выпуска. Тем не менее, имеется минимальная двухдневная задержка миграции пакетов,
   так как иногда исправления безопасности могут задерживаться переходами других пакетов. Команда безопасности
   помогает перемещать пакеты, которые задерживают миграцию важных
   обновлений безопасности, но это не всегда возможно, поэтому могут возникать задержки.
   Исправления безопасности для тестируемого выпуска могут существенно отставать особенно в первые месяцы
   после очередного нового выпуска, когда много новых версий пакетов загружаются в нестабильный выпуск.
   Если вы хотите иметь безопасный (и стабильный) сервер, мы настоятельно рекомендуем вам
   использовать стабильный выпуск.</p>

<toc-add-entry name=contrib>Каким образом ведётся работа над безопасностью секций <tt>contrib</tt> и
  <tt>non-free</tt>?</toc-add-entry>
<p>A: Если коротко, никак не ведётся. Contrib и non-free не являются официальными
   частями дистрибутива Debian, не входят в выпуски, и потому не
   поддерживаются командой безопасности. Некоторые несвободные пакеты
   распространяются без исходного кода, или их лицензия не позволяет
   распространение изменённых версий. В этих случаях исправление
   в них проблем безопасности вообще невозможно. Если решить проблему всё же
   возможно, и если сопровождающий пакета либо кто-то ещё предоставил
   корректную новую версию пакета, команда безопасности, в общем случае,
   возьмёт её в обработку и выпустит рекомендацию.</p>

<toc-add-entry name=sidversionisold>В рекомендации сказано, что нестабильная версия исправлена в
 версии 1.2.3-1, но в нестабильном выпуске находится версия 1.2.5-1, в чём дело?</toc-add-entry>
<p>A: Мы пытаемся указать ту версию из нестабильного выпуска, в которой проблема исправлена. Иногда бывает так, что
сопровождающий загрузил тем временем ещё более новую версию. Сравните версию в
нестабильном выпуске и версию, которую указали мы. Если она такая же или выше, вы не должны быть
подвержены этой уязвимости.  Если вы хотите убедиться в том, что ваши системы не
подвержены этой уязвимости, то вы можете проверить журнал изменений пакета с помощью
команды <tt>apt-get changelog имя-пакета</tt> и поискать там запись об исправлении.</p>

<toc-add-entry name=mirror>Почему нет официальных зеркал security.debian.org?</toc-add-entry>
<p>A: На самом деле, они есть. Это несколько официальных зеркал, организованных
через псевдонимы DNS. Целью security.debian.org является предоставление
обновлений, связанных с безопасностью, так быстро и легко, насколько это
возможно.</p>

<p>Использование неофициальных зеркал усложнило бы процесс, что обычно
   не нужно, и может вызвать затруднения, если зеркала не будут
   содержать актуальные пакеты.</p>

<toc-add-entry name=missing>Я вижу DSA 100 и DSA 102, но где DSA 101?</toc-add-entry>
<p>A: Некоторые поставщики (в основном GNU/Linux, но также и BSD
   производных) в некоторых случаях координируют между собой предложения
   по безопасности и соглашаются на определённую задержку, так чтобы
   все поставщики могли выпустить рекомендации одновременно. Так сделано,
   чтобы не дискриминировать поставщиков, которым нужно больше времени
   (напр., когда пакеты должны пройти длительные тесты контроля
   качества или поставщик поддерживает несколько архитектур или
   двоичных выпусков). Наша команда безопасности также подготавливает
   предложения заранее. Время от времени получается так, что нужно
   выпустить новое предложение по безопасности, а другое ещё не
   опубликовано. Таким образом один или несколько номеров могут
   быть пропущены.
</p>

<toc-add-entry name=contact>Как я могу связаться с командой безопасности?</toc-add-entry>

<p>A: Информацию, касающуюся безопасности, можно отправлять по адресу
   security@debian.org или team@security.debian.org. Письма на оба адреса
   читают все члены команды безопасности Debian.
</p>

<p>Если нужно, сообщение можно зашифровать ключом контактов
   команды безопасности Debian (идентификатор ключа <a
   href="http://pgp.surfnet.nl/pks/lookup?op=vindex&amp;search=0x0D59D2B15144766A14D241C66BAF400B05C3E651">\
   0x0D59D2B15144766A14D241C66BAF400B05C3E651</a>). Ключи PGP/GPG членов команды безопасности можно найти
   на сервере ключей
   <a href="https://keyring.debian.org/">keyring.debian.org</a>.</p>

<toc-add-entry name=discover>Мне кажется, что я нашёл проблему, связанную с безопасностью. Что мне делать?</toc-add-entry>

<p>A: Если вы обнаружили проблему, связанную с безопасностью, в вашем
   пакете или в чьём-либо ещё, пожалуйста, непременно свяжитесь с командой
   безопасности. Если команда безопасности Debian подтвердит наличие
   уязвимости, и вероятно, что проблемой затронуты и другие поставщики,
   команда безопасности, скорее всего, свяжется с ними. Если о наличии
   уязвимости ещё неизвестно широкой публике, они попытаются
   скоординировать действия с другими поставщиками, так что все основные
   дистрибутивы будут синхронизированы.</p>

<p>Если уязвимость уже публично известна, обязательно отправьте отчёт об ошибке
   в Debian BTS, и присвойте ему тег <q>security</q>.</p>

<p>Если вы сопровождающий Debian, <a href="#care">см. ниже</a>.</p>

<toc-add-entry name=care>Что я должен делать, если проблема, связанная с безопасностью,
   обнаружилась в одном из моих пакетов?</toc-add-entry>

<p>A: Если вы обнаружили программу, связанную с безопасностью, в вашем
   пакете или в чьём-либо ещё, пожалуйста, непременно свяжитесь с командой
   безопасности по электронной почте team@security.debian.org. Они отслеживают ещё не исправленные
   проблемы в безопасности, могут помочь сопровождающим в их
   исправлении, отвечают за отправку предложений по безопасности
   и сопровождают security.debian.org.</p>

<p><a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
   Справочник разработчика</a> содержит подробные инструкции.</p>

<p>В частности, очень важно то, что вы не должны загружать пакеты
   в какой-то другой выпуск, помимо нестабильного, без
   предварительного согласования с командой безопасности. В противном
   случае вы послужите причиной путаницы и лишней работы.</p>

<toc-add-entry name=enofile>Я пытаюсь загрузить пакет, указанный в одной из рекомендаций
   по безопасности, но происходит ошибка <q>файл не найден</q>.</toc-add-entry>

<p>A: Если появился более новый пакет, заменивший старый на
   security.debian.org, весьма вероятно, что старый через некоторое
   время будет удалён. Поэтому вы получите сообщение <q>файл не найден</q>.
   Мы не хотим распространять пакеты, о наличии ошибок, связанных с
   безопасностью, в которых мы знаем, дольше, чем это абсолютно
   необходимо.</p>

<p>Пожалуйста, используйте пакеты, указанные в последних рекомендация
   по безопасности, распространяемых через список рассылки <a
   href="https://lists.debian.org/debian-security-announce/">\
   debian-security-announce</a>. Лучше всего перед обновлением пакета
   просто запустить <code>apt-get update</code>.</p>

<toc-add-entry name=upload>Я исправил ошибку. Могу ли я загрузить пакет непосредственно на security.debian.org?</toc-add-entry>

<p>A: Нет. Архив на security.debian.org сопровождается командой
   безопасности, которая должна одобрить загрузку любого пакета. Вместо
   этого следует отправлять заплаты или исправленные пакеты с
   исходным кодом команде безопасности по электронной почте
   team@security.debian.org. Команда безопасности проанализирует их
   и в конце концов загрузит на сервер, внеся изменения или без них.</p>

<p><a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
   Справочник разработчика</a> содержит полные инструкции.</p>

<toc-add-entry name=ppu>Я исправил ошибку. Могу ли я загрузить пакет в каталог proposed-updates?</toc-add-entry>

<p>A: Технически, да. Тем не менее, вам не следует этого делать,
   поскольку это плохо пересекается с работой команды безопасности.
   Пакеты с security.debian.org будут скопированы в proposed-updates
   автоматически. Если пакет с тем же или более высоким номером
   версии в архиве уже есть, обновление от команды безопасности
   будет отвергнуто системой поддержки архива. Таким образом,
   стабильный выпуск останется без обновления, связанного с
   безопасностью, для этого пакета, если только <q>неправильные</q> пакеты
   в каталоге proposed-updates не будут отвергнуты. Пожалуйста,
   свяжитесь вместо этого с командой безопасности, сообщите все
   подробности об обнаруженной уязвимости, и вложите в письмо
   файлы исходного кода (diff.gz и dsc).</p>

<p><a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
   Справочник разработчика</a> содержит полные инструкции.</p>

<toc-add-entry name=SecurityUploadQueue>Я абсолютно уверен, что мой пакет
   работает правильно, как я могу загрузить его?</toc-add-entry>

<p>A: Если вы полностью уверены, что ваш пакет не нарушит работу каких-либо
   программ, что номер версии правилен (т.е. выше, чем номер версии в
   стабильном выпуске, но ниже, чем в тестируемом/нестабильном),
   что вы не изменили поведение пакета, несмотря на соответствующую
   проблему безопасности, что вы скомпилировали пакет для правильного
   выпуска (<code>oldstable-security</code> или
   <code>stable-security</code>), что в случае, если пакета ещё нет на
   security.debian.org, пакет содержит первоначальный исходный код, что
   вы можете подтвердить, что изменения по сравнению с последней версией
   касаются только соответствующей проблемы безопасности (проверьте это
   с помощью <code>interdiff -z</code> и обоих файлов <code>.diff.gz</code>),
   что вы прочитали изменения кода по меньшей мере трижды и что
   <code>debdiff</code> не показывает никаких изменений, вы можете загрузить
   файлы в каталог последних поступлений
   <code>ftp://ftp.security.upload.debian.org/pub/SecurityUploadQueue</code> непосредственно на
   security.debian.org. Пожалуйста, пришлите также уведомление об этом
   с изложением всех подробностей и ссылками по адресу
   team@security.debian.org.</p>

<toc-add-entry name=help>Как я могу помочь в обеспечении безопасности?</toc-add-entry>
<p>A: Пожалуйста, проверяйте каждую проблему перед тем, как сообщить
   о ней по адресу security@debian.org. Если вы можете предоставить
   заплату, это ускорит процесс. Не надо просто пересылать письма
   из системы отслеживания ошибок Debian, мы и так получаем их, но обязательно сообщайте нам
   дополнительную информацию о проблемах, освещённых там.</p>

<p>Неплохим способом начать работу над проблемами безопасности будет помощь
   на трекере безопасности Debian (<a
   href="https://security-tracker.debian.org/tracker/data/report">инструкции</a>).</p>

<toc-add-entry name=proposed-updates>Каков статус каталога proposed-updates?</toc-add-entry>
<p>A: Этот каталог содержит пакеты, которые предлагается включить
   в следующую редакцию стабильного дистрибутива Debian. Всегда,
   когда сопровождающий загружает пакет для стабильного дистрибутива,
   он попадает в каталог proposed-updates. Поскольку стабильный
   выпуск предполагается стабильным, автоматического обновления
   не производится. Команда безопасности загружает исправленные пакеты,
   указанные в её предложениях, в стабильный выпуск, однако
   сначала они помещаются в proposed-updates. Раз в несколько месяцев
   управляющий стабильного выпуска проверяет список пакетов в
   proposed-updates и решает, должен ли пакет быть включён в
   стабильный выпуск. Так формируется новая редакция стабильного
   выпуска (например, 2.2r3 или 2.2r4). Пакеты, которые не подходят
   для включения в стабильный выпуск, вероятно, будут отвергнуты
   и удалены из каталога proposed-updates.
</p>

<p>Имейте в виду, что пакеты, загруженные в каталог proposed-updates/
   сопровождающими (а не командой безопасности), командой безопасности
   не поддерживаются.</p>

<toc-add-entry name=composing>Кто входит в команду безопасности?</toc-add-entry>
<p>A: Команда безопасности Debian состоит из нескольких
   <a href="../intro/organization#security">ответственных лиц проекта</a>.
   Команда безопасности сама подбирает новых членов.</p>

<toc-add-entry name=lifespan>Как долго будут предоставляться обновления, связанные с безопасностью?</toc-add-entry>
<p>A: Команда безопасности поддерживает (или, по крайней мере, пытается)
   стабильный дистрибутив в течение одного года после выхода следующего
   выпуска, за исключением случаев, когда в течение этого года выходит
   ещё один стабильный выпуск. Поддерживать одновременно три
   выпуска невозможно&nbsp;&mdash; даже параллельная поддержка двух
   выпусков достаточно сложна.
</p>

<toc-add-entry name=check>Как проверить целостность пакетов?</toc-add-entry>
<p>A: Этот процесс включает в себя проверку подписи файла Release по
   <a href="https://ftp-master.debian.org/keys.html">\
   открытому ключу</a>, который использовался для данного архива.
   Файл Release содержит контрольные суммы файлов Packages
   и Sources, которые, в свою очередь, содержат контрольные суммы
   для пакетов с исходным кодом и двоичных пакетов.
   Подробные инструкции по проверке целостности пакетов вы можете
   найти в документе <a
   href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\
   Руководство по защите Debian</a>.</p>

<toc-add-entry name=break>Что делать, если после установки обновления какой-либо пакет перестал работать?</toc-add-entry>
<p>A: Во-первых, следует определить, почему пакет не работает и как
   это связано с обновлением. После этого свяжитесь с командой безопасности,
   если это серьёзная проблема, или с управляющими стабильного выпуска,
   если она не слишком серьезна. Мы говорим о ситуации, когда пакет перестал работать
   после обновления другого пакета. Если вы не можете определить, что
   именно работает неправильно, но у вас есть предположения, как можно
   исправить ситуацию, также свяжитесь с командой безопасности. При
   необходимости вас перенаправят к управляющему стабильным выпуском.</p>

<toc-add-entry name=cvewhat>Что такое CVE идентификатор?</toc-add-entry>
<p>A: Проект Common Vulnerabilities and Exposures назначает
   уникальные имена, называемые CVE идентификаторами, конкретным уязвимостям
   безопасности, чтобы облегчить задачу указания конкретной
   проблемы. Дополнительная информация может быть найдена в <a
   href="http://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures">\
   Wikipedia</a>.</p>

<toc-add-entry name=cvedsa>Выпускает ли Debian рекомендации безопасности для всякого CVE идентификатора?</toc-add-entry>
<p>A: Команда безопасности Debian отслеживает каждый выпущенный CVE идентификатор,
   связывает его с релевантным пакетом Debian и оценивает его влияние на
   контекст Debian &mdash; тот факт, что чем-то назначен CVE идентификатор не
   предполагает с необходимостью, что данная проблема представляет серьёзную угрозу системе Debian.
   Эта информация отслеживается
   <a href="https://security-tracker.debian.org">Системой отслеживания безопасности Debian</a>,
   проблемы, которые считаются серьёзными, выпускаются рекомендации безопасности
   Debian.</p>

<p>Менее серьёзные проблемы, для которых рекомендации по безопасности не выпускаются, могут быть исправлены
   в следующем выпуске Debian, в редакции текущего стабильного или предыдущего стабильного
   выпуска, либо включены в рекомендацию по безопасности, выпущенную для
   более серьёзной уязвимости.</p>

<toc-add-entry name=cveget>Может ли Debian назначать CVE идентификаторы?</toc-add-entry>
<p>A: Debian имеет статус CVE Numbering Authority и может назначать идентификаторы, но в
   соответствии с политикой CVE можно назначать идентификаторы только нераскрытым пока проблемам. Если вам известно о
   нераскрытой уязвимости в безопасности ПО в Debian и вы хотели бы получить для неё
   идентификатор, свяжитесь с командой безопасности Debian. В случае, когда
   уязвимость уже известна публично, мы советуем следовать процедуре,
   описанной в документе <a
   href="https://github.com/RedHatProductSecurity/CVE-HOWTO">\
   CVE OpenSource Request HOWTO</a>.</p>

<toc-add-entry name=disclosure-policy>Имеется ли у Debian политика раскрытия информации об уязвимостях?</toc-add-entry>
<p>A: Debian опубликовал <a href="disclosure-policy">политику раскрытия
   информации об уязвимостях</a> в соответствии со своим участием в программе
   CVE.

<h1>Устаревшие ЧАВО по безопасности в Debian</h1>

<toc-add-entry name=localremote>Что означает <q>(local (remote))</q>
(«локальная (удалённая)»)?</toc-add-entry>
<p>A: Некоторые предупреждения безопасности содержат уязвимости, которые не
   могут быть классифицированы по классической схеме локальной и удалённой
   возможности использования. Некоторые уязвимости не могут быть использованы
   удалённо, то есть они не направлены на службу, открывшую сетевой порт. Если они могут
   быть использованы специальными файлами, которые могут быть предоставлены
   через сеть, хотя уязвимый сервис не соединён с сетью постоянно, в таком случае
   мы пишем <q>local (remote)</q>.</p>

<p>Подобные уязвимости представляют собой что-то среднее между локальной и удалённой
   уязвимостями, и часто содержат архивы, которые могут быть предоставлены по сети,
   то есть как почтовое вложение или со страницы загрузки.</p>