Date: Sat, 7 May 2016 12:15:13 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48783 - head/de_DE.ISO8859-1/books/handbook/security Message-ID: <201605071215.u47CFDuL090804@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Sat May 7 12:15:13 2016 New Revision: 48783 URL: https://svnweb.freebsd.org/changeset/doc/48783 Log: Update to r44311: Update example Security Advisory and its descriptions. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6258 Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sat May 7 11:10:14 2016 (r48782) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sat May 7 12:15:13 2016 (r48783) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44302 + basiert auf: r44311 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> <info><title>Sicherheit</title> @@ -3402,177 +3402,280 @@ You are advised to update or deinstall t <sect2> <title>Wie sieht ein Sicherheitshinweis aus?</title> - <para>&os; Sicherheitshinweise haben das folgende Format:</para> + <para>Hier ist ein Beispiel für einen &os; + Sicherheitshinweis:</para> <programlisting>============================================================================= -FreeBSD-SA-XX:XX.UTIL Security Advisory +-----BEGIN PGP SIGNED MESSAGE----- +Hash: SHA512 + +============================================================================= +FreeBSD-SA-14:04.bind Security Advisory The FreeBSD Project -Topic: denial of service due to some problem<co xml:id="co-topic"/> +Topic: BIND remote denial of service vulnerability -Category: core<co xml:id="co-category"/> -Module: sys<co xml:id="co-module"/> -Announced: 2003-09-23<co xml:id="co-announce"/> -Credits: Person<co xml:id="co-credit"/> -Affects: All releases of &os;<co xml:id="co-affects"/> - &os; 4-STABLE prior to the correction date -Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE) - 2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6) - 2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15) - 2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8) - 2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18) - 2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21) - 2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33) - 2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43) - 2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)<co xml:id="co-corrected"/> -<acronym>CVE</acronym> Name: CVE-XXXX-XXXX<co xml:id="co-cve"/> +Category: contrib +Module: bind +Announced: 2014-01-14 +Credits: ISC +Affects: FreeBSD 8.x and FreeBSD 9.x +Corrected: 2014-01-14 19:38:37 UTC (stable/9, 9.2-STABLE) + 2014-01-14 19:42:28 UTC (releng/9.2, 9.2-RELEASE-p3) + 2014-01-14 19:42:28 UTC (releng/9.1, 9.1-RELEASE-p10) + 2014-01-14 19:38:37 UTC (stable/8, 8.4-STABLE) + 2014-01-14 19:42:28 UTC (releng/8.4, 8.4-RELEASE-p7) + 2014-01-14 19:42:28 UTC (releng/8.3, 8.3-RELEASE-p14) +CVE Name: CVE-2014-0591 For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the -following sections, please visit -http://www.FreeBSD.org/security/. +following sections, please visit <URL:http://security.FreeBSD.org/>. + +I. Background + +BIND 9 is an implementation of the Domain Name System (DNS) protocols. +The named(8) daemon is an Internet Domain Name Server. + +II. Problem Description + +Because of a defect in handling queries for NSEC3-signed zones, BIND can +crash with an "INSIST" failure in name.c when processing queries possessing +certain properties. This issue only affects authoritative nameservers with +at least one NSEC3-signed zone. Recursive-only servers are not at risk. + +III. Impact + +An attacker who can send a specially crafted query could cause named(8) +to crash, resulting in a denial of service. + +IV. Workaround + +No workaround is available, but systems not running authoritative DNS service +with at least one NSEC3-signed zone using named(8) are not vulnerable. + +V. Solution + +Perform one of the following: + +1) Upgrade your vulnerable system to a supported FreeBSD stable or +release / security branch (releng) dated after the correction date. + +2) To update your vulnerable system via a source code patch: + +The following patches have been verified to apply to the applicable +FreeBSD release branches. + +a) Download the relevant patch from the location below, and verify the +detached PGP signature using your PGP utility. + +[FreeBSD 8.3, 8.4, 9.1, 9.2-RELEASE and 8.4-STABLE] +# fetch http://security.FreeBSD.org/patches/SA-14:04/bind-release.patch +# fetch http://security.FreeBSD.org/patches/SA-14:04/bind-release.patch.asc +# gpg --verify bind-release.patch.asc -I. Background<co xml:id="co-backround"/> +[FreeBSD 9.2-STABLE] +# fetch http://security.FreeBSD.org/patches/SA-14:04/bind-stable-9.patch +# fetch http://security.FreeBSD.org/patches/SA-14:04/bind-stable-9.patch.asc +# gpg --verify bind-stable-9.patch.asc +b) Execute the following commands as root: -II. Problem Description<co xml:id="co-descript"/> +# cd /usr/src +# patch < /path/to/patch +Recompile the operating system using buildworld and installworld as +described in <URL:http://www.FreeBSD.org/handbook/makeworld.html>. -III. Impact<co xml:id="co-impact"/> +Restart the applicable daemons, or reboot the system. +3) To update your vulnerable system via a binary patch: -IV. Workaround<co xml:id="co-workaround"/> +Systems running a RELEASE version of FreeBSD on the i386 or amd64 +platforms can be updated via the freebsd-update(8) utility: +# freebsd-update fetch +# freebsd-update install -V. Solution<co xml:id="co-solution"/> +VI. Correction details +The following list contains the correction revision numbers for each +affected branch. -VI. Correction details<co xml:id="co-details"/> +Branch/path Revision +- ------------------------------------------------------------------------- +stable/8/ r260646 +releng/8.3/ r260647 +releng/8.4/ r260647 +stable/9/ r260646 +releng/9.1/ r260647 +releng/9.2/ r260647 +- ------------------------------------------------------------------------- +To see which files were modified by a particular revision, run the +following command, replacing NNNNNN with the revision number, on a +machine with Subversion installed: -VII. References<co xml:id="co-ref"/></programlisting> +# svn diff -cNNNNNN --summarize svn://svn.freebsd.org/base +Or visit the following URL, replacing NNNNNN with the revision number: - <calloutlist> - <callout arearefs="co-topic"> +<URL:http://svnweb.freebsd.org/base?view=revision&revision=NNNNNN> + +VII. References + +<URL:https://kb.isc.org/article/AA-01078> + +<URL:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0591> + +The latest revision of this advisory is available at +<URL:http://security.FreeBSD.org/advisories/FreeBSD-SA-14:04.bind.asc> +-----BEGIN PGP SIGNATURE----- + +iQIcBAEBCgAGBQJS1ZTYAAoJEO1n7NZdz2rnOvQP/2/68/s9Cu35PmqNtSZVVxVG +ZSQP5EGWx/lramNf9566iKxOrLRMq/h3XWcC4goVd+gZFrvITJSVOWSa7ntDQ7TO +XcinfRZ/iyiJbs/Rg2wLHc/t5oVSyeouyccqODYFbOwOlk35JjOTMUG1YcX+Zasg +ax8RV+7Zt1QSBkMlOz/myBLXUjlTZ3Xg2FXVsfFQW5/g2CjuHpRSFx1bVNX6ysoG +9DT58EQcYxIS8WfkHRbbXKh9I1nSfZ7/Hky/kTafRdRMrjAgbqFgHkYTYsBZeav5 +fYWKGQRJulYfeZQ90yMTvlpF42DjCC3uJYamJnwDIu8OhS1WRBI8fQfr9DRzmRua +OK3BK9hUiScDZOJB6OqeVzUTfe7MAA4/UwrDtTYQ+PqAenv1PK8DZqwXyxA9ThHb +zKO3OwuKOVHJnKvpOcr+eNwo7jbnHlis0oBksj/mrq2P9m2ueF9gzCiq5Ri5Syag +Wssb1HUoMGwqU0roS8+pRpNC8YgsWpsttvUWSZ8u6Vj/FLeHpiV3mYXPVMaKRhVm +067BA2uj4Th1JKtGleox+Em0R7OFbCc/9aWC67wiqI6KRyit9pYiF3npph+7D5Eq +7zPsUdDd+qc+UTiLp3liCRp5w6484wWdhZO6wRtmUgxGjNkxFoNnX8CitzF8AaqO +UWWemqWuz3lAZuORQ9KX +=OQzQ +-----END PGP SIGNATURE-----</programlisting> + + <para>Jeder Sicherheitshinweis verwendet das folgende + Format:</para> + + <itemizedlist> + <listitem> + <para>Jeder Sicherheitshinweis wird mit dem + <acronym>PGP</acronym>-Schlüssel des + Sicherheitsbeauftragten unterzeichnet. Der öffentliche + Schlüssel des Sicherheitsbeauftragten kann in <xref + linkend="pgpkeys"/> überprüft werden.</para> + </listitem> + + <listitem> + <para>Der Name des Sicherheitshinweises beginnt immer mit + <literal>FreeBSD-SA-</literal> (für FreeBSD Security + Advisory), gefolgt vom Jahr im zweistelligen Format + (<literal>14:</literal>), gefolgt von der Anzahl von + Sicherheitshinweisen für dieses Jahr + (<literal>04.</literal>), gefolgt vom Namen der Anwendung + oder des betroffenen Subsystems (<literal>bind</literal>). + Der hier gezeigte Sicherheitshinweis ist der vierte + Hinweis für das Jahr 2014 und betrifft die Anwendung + <application>BIND</application>.</para> + </listitem> + + <listitem> <para>Das Feld <literal>Topic</literal> enthält eine - Beschreibung des Sicherheitsproblems und benennt das - betroffene Programm.</para> - </callout> + Beschreibung der Schwachstelle.</para> + </listitem> - <callout arearefs="co-category"> + <listitem> <para>Das Feld <literal>Category</literal> beschreibt den - betroffenen Systemteil. Mögliche Werte für dieses - Feld sind <literal>core</literal>, <literal>contrib</literal> + betroffenen Systemteil. Mögliche Werte für dieses Feld + sind <literal>core</literal>, <literal>contrib</literal> oder <literal>ports</literal>. Die Kategorie - <literal>core</literal> gilt für Kernkomponenten - des &os;-Betriebssystems, die Kategorie + <literal>core</literal> gilt für Komponenten des + &os;-Betriebssystems, die Kategorie <literal>contrib</literal> beschreibt zum Basissystem - gehörende Software Dritter beispielsweise - <application>Sendmail</application>. Die Kategorie - <literal>ports</literal> beschreibt Software, die - Teil der Ports-Sammlung ist.</para> - </callout> + gehörende Software Dritter, beispielsweise + <application>BIND</application>. Die Kategorie + <literal>ports</literal> beschreibt Software, die Teil + der Ports-Sammlung ist.</para> + </listitem> - <callout arearefs="co-module"> + <listitem> <para>Das Feld <literal>Module</literal> beschreibt die - betroffene Komponente. Im Beispiel ist - <literal>sys</literal> angegeben, das heißt - dieses Problem betrifft eine Komponente, die vom - Kernel benutzt wird.</para> - </callout> + betroffene Komponente. Im diesem Beispiel ist das + <literal>bind</literal>-Modul betroffen, dass heißt + dieses Problem betrifft eine Anwendung aus dem + Betriebssystem.</para> + </listitem> - <callout arearefs="co-announce"> + <listitem> <para>Das Feld <literal>Announced</literal> gibt den Zeitpunkt der Bekanntgabe des Sicherheitshinweises - an. Damit existiert das Sicherheitsproblem, - ist vom Sicherheits-Team bestätigt worden - und eine entsprechende Korrektur wurde in das - Quellcode-Repository von &os; gestellt.</para> - </callout> + an. Das bedeutet, dass das Sicherheitsteam das Problem + bestätigt hat und das eine entsprechende Korrektur bereits + im &os; Quellcode-Repository zur Verfügung steht .</para> + </listitem> - <callout arearefs="co-credit"> + <listitem> <para>Das Feld <literal>Credits</literal> gibt die Person oder Organisation an, die das Sicherheitsproblem - bemerkte und gemeldet hat.</para> - </callout> + bemerkt und gemeldet hat.</para> + </listitem> - <callout arearefs="co-affects"> - <para>Welche &os;-Releases betroffen sind, ist im Feld - <literal>Affects</literal> angegeben. Die Version einer - Datei, die zum Kernel gehört, können Sie - schnell mit &man.ident.1; ermitteln. Bei Ports - ist die Versionsnummer angegeben, die Sie im Verzeichnis - <filename>/var/db/pkg</filename> finden. - Wenn Sie Ihr System nicht täglich aktualisieren, - ist Ihr System wahrscheinlich betroffen.</para> - </callout> - - <callout arearefs="co-corrected"> - <para>Wann das Problem in welchem Release behoben wurde, - steht im Feld <literal>Corrected</literal>.</para> - </callout> + <listitem> + <para>Das Feld <literal>Affects</literal> listet die + &os;-Releases auf, die von dem Problem betroffen + sind.</para> + </listitem> + + <listitem> + <para>Das Feld <literal>Corrected</literal> zeigt an, + wann das Problem in welchem Release behoben wurde.</para> + </listitem> - <callout arearefs="co-cve"> + <listitem> <para>Reserviert für Informationen, über die - in der <link xlink:href="http://cve.mitre.org">Common - Vulnerabilities Database</link> nach Sicherheitslücken + auf <link xlink:href="http://cve.mitre.org"> + cve.mitre.org</link> nach Sicherheitslücken gesucht werden kann.</para> - </callout> + </listitem> - <callout arearefs="co-backround"> + <listitem> <para>Im Feld <literal>Background</literal> wird - das betroffene Werkzeug beschrieben. Meist finden Sie - hier warum das Werkzeug Bestandteil von &os; ist, - wofür es benutzt wird und eine kurze - Darstellung der Herkunft des Werkzeugs.</para> - </callout> - - <callout arearefs="co-descript"> - <para>Im Feld <literal>Problem Description</literal> befindet - sich eine genaue Darstellung des Sicherheitsproblems. - Hier wird fehlerhafter Code beschrieben oder geschildert, - wie ein Werkzeug ausgenutzt wird.</para> - </callout> + das betroffene Modul beschrieben.</para> + </listitem> + + <listitem> + <para>Im Feld <literal>Problem Description</literal> wird + das Sicherheitsproblem beschrieben. Hier wird + fehlerhafter Code beschrieben oder geschildert, + wie ein Werkzeug ausgenutzt werden könnte.</para> + </listitem> - <callout arearefs="co-impact"> + <listitem> <para>Das Feld <literal>Impact</literal> beschreibt die - Auswirkungen des Sicherheitsproblems auf ein System, - beispielsweise erweiterte Rechte oder gar - Superuser-Rechte für normale Benutzer.</para> - </callout> + Auswirkungen des Sicherheitsproblems auf ein + System.</para> + </listitem> - <callout arearefs="co-workaround"> + <listitem> <para>Im Feld <literal>Workaround</literal> wird eine Umgehung des Sicherheitsproblems beschrieben. Die Umgehung ist für Administratoren gedacht, - die ihr System aus Zeitnot, Netzwerk-technischen oder - anderen Gründen nicht aktualisieren können. - Nehmen Sie Sicherheitsprobleme ernst: Auf einem - betroffenen System sollte das Problem entweder behoben - oder, wie hier beschrieben, umgangen werden.</para> - </callout> + die das System aus Zeitnot, Netzwerk-technischen oder + anderen Gründen nicht aktualisieren können.</para> + </listitem> - <callout arearefs="co-solution"> - <para>Im Feld <literal>Solution</literal> enthält eine + <listitem> + <para>Das Feld <literal>Solution</literal> enthält eine getestete Schritt-für-Schritt Anleitung, die das Sicherheitsproblem behebt.</para> - </callout> + </listitem> - <callout arearefs="co-details"> + <listitem> <para>Das Feld <literal>Correction Details</literal> enthält die <application>Subversion</application>-Tags der betroffenen Dateien zusammen mit zugehörigen - Revisionsnummern.</para> - </callout> + Revisionsnummern, in denen das Problem behoben + wurde.</para> + </listitem> - <callout arearefs="co-ref"> + <listitem> <para>Im Feld <literal>References</literal> finden sich - Verweise auf weitere Informationsquellen. Dies können - URLs zu Webseiten, Bücher, Mailinglisten und Newsgroups - sein.</para> - </callout> - </calloutlist> + Verweise auf weitere Informationsquellen.</para> + </listitem> + </itemizedlist> </sect2> </sect1>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201605071215.u47CFDuL090804>