安全漏洞¶
Linux 内核开发人员非常重视安全性。 因此,我们希望在发现安全漏洞时能够及时获知,以便尽快修复并公开。 请向 Linux 内核安全团队报告安全漏洞。
联系方式¶
可以通过电子邮件联系 Linux 内核安全团队,邮箱地址为 <security@kernel.org>。 这是一个由安全负责人组成的私人列表,他们将帮助验证错误报告,并开发和发布修复程序。 如果您已经有修复程序,请将其包含在您的报告中,因为这可以大大加快处理速度。 安全团队可能会请区域维护人员提供额外帮助,以了解和修复安全漏洞。
与任何错误一样,提供的的信息越多,就越容易诊断和修复。 如果您不清楚哪些信息有帮助,请查看“报告问题”中概述的步骤。 任何漏洞利用代码都非常有帮助,未经报告者同意不会发布,除非该代码已被公开。
请尽可能发送不带附件的纯文本电子邮件。 如果所有详细信息都隐藏在附件中,那么对复杂问题进行上下文引用的讨论会更加困难。 可以将其视为常规补丁提交(即使您还没有补丁):描述问题和影响,列出重现步骤,并在纯文本中提供建议的修复方案。
披露和禁运信息¶
安全列表不是披露渠道。 为此,请参阅下面的协调。
一旦开发出可靠的修复程序,发布过程就开始。 公开已知错误的修复程序会立即发布。
尽管我们倾向于在公开未披露的错误修复程序可用时立即发布,但应报告者或受影响方的要求,可以将其推迟最多 7 个日历日,从发布过程开始算起,如果一致认为该错误的严重性需要更多时间,则可以例外延长至 14 个日历日。 推迟发布修复程序的唯一有效理由是为了适应需要发布协调的质量保证和大规模部署的后勤工作。
虽然可以与可信赖的个人共享禁运信息以开发修复程序,但在未经报告者许可的情况下,不会将此类信息与修复程序一起发布或在任何其他披露渠道上发布。 这包括但不限于原始错误报告和后续讨论(如果有),漏洞利用、CVE 信息或报告者的身份。
换句话说,我们唯一的兴趣是修复错误。 提交给安全列表的所有其他信息以及对报告的任何后续讨论,即使在解除禁运后,也将永久保密。
与其他小组的协调¶
虽然内核安全团队只专注于修复错误,但其他小组则专注于修复发行版中的问题并协调操作系统供应商之间的披露。 协调通常由 “linux-distros” 邮件列表处理,披露由公共 “oss-security” 邮件列表处理,这两个列表都密切相关,并在 linux-distros wiki 中列出: <https://oss-security.openwall.org/wiki/mailing-lists/distros>
请注意,由于这 3 个列表追求不同的目标,因此各自的策略和规则有所不同。 内核安全团队和其他团队之间的协调很困难,因为对于内核安全团队,偶尔的禁运(受最大允许天数限制)从修复程序可用时开始,而对于“linux-distros”,它们从首次发布到列表时开始,而不管修复程序是否可用。
因此,内核安全团队强烈建议,作为潜在安全问题的报告者,在受影响代码的维护人员接受修复程序之前,请勿联系“linux-distros”邮件列表,并且您已阅读上面的发行版 wiki 页面,并且您完全了解联系“linux-distros”将对您和内核社区施加的要求。 这也意味着通常同时抄送两个列表是没有意义的,除非是为了协调,当接受的修复程序尚未合并时。 换句话说,在接受修复程序之前,请勿抄送“linux-distros”,在合并后,请勿抄送内核安全团队。
CVE 分配¶
安全团队不分配 CVE,也不要求报告或修复程序使用 CVE,因为这可能会不必要地使过程复杂化并可能延迟错误处理。 如果报告者希望为已确认的问题分配 CVE 标识符,他们可以联系内核 CVE 分配团队以获取一个。
保密协议¶
Linux 内核安全团队不是正式机构,因此无法签订任何保密协议。