Omitir navegación rápida

• Acerca de Debian
• Noticias
• Cómo obtener Debian
• Soporte
• Rincón de los desarrolladores
• Mapa del sitio
• Búsqueda

Nota: La página original es más nueva que esta traducción.

Debian y la compatiblidad con CVE

Los desarrolladores de Debian saben de la necesidad de proporcionar una información actualizada y precisa del estado de la seguridad en la distribución Debian, que permita a los usuarios gestionar adecuadamente los riesgos asociados con las nuevas vulnerabilidades de seguridad. CVE nos permite proporcionar referencias estandarizadas, lo que permite a nuestros usuarios desarrollar unos procesos de gestión de seguridad conformes a CVE.

El proyecto Common Vulnerabilities and Exposures (CVE - Vulnerabilidades y Exposiciones Comunes), nos permite proporcionar referencias de seguridad estandarizadas que permite a los usuarios desarrollar un proceso de gestión del sistema con CVE activado. CVE proporciona una lista de nombres estándar para las vulnerabilidades y las exposiciones de seguridad.

El proyecto Debian cree que es extremadamente importante proporcionar a los usuarios información adicional relacionada con los incidentes de seguridad que afectan a la distribución. La inclusión de nombres CVE en los avisos ayuda a los usuarios a asociar vulnerabilidades genéricas con actualizaciones específicas de Debian, lo que reduce el tiempo empleado en gestionar las vulnerabilidades que afectan a nuestros usuarios.

La disponibilidad de las referencias de seguridad comunes también facilita la gestión de la seguridad en un entorno donde haya herramientas de seguridad compatibles con CVE como pueda ser el caso de sistemas de detección de intrusos (de equipos o de redes), o herramientas de análisis de vulnerabilidades que ya hayan sido desplegadas, sin importar si están basadas o no en la distribución Debian.

El proyecto Debian ha añadido nombres CVE a todos los avisos de seguridad (DSA) publicados desde septiembre de 1998, por medio de un proceso de revisión que comenzó en agosto de 2002. Todos los avisos se pueden obtener del sitio web de Debian, y los anuncios relativos a las nuevas vulnerabilidades incluyen los nombres CVE, siempre que estén disponibles a la hora de su publicación. Los avisos asociados con un nombre CVE dado se pueden buscar directamente a través del motor de búsqueda.

Los usuarios que quieran buscar un nombre CVE particular pueden usar el motor de búsqueda web que hay disponible en debian.org para recuperar los avisos disponibles (en inglés y traducido a otros idiomas) asociados con los nombres CVE. Se puede hacer la búsqueda para un nombre específico (como advisory CAN-2002-0001) o con nombres parciales (como todos los candidatos de 2002 incluídos en los avisos advisory CAN-2002). Tenga en cuenta que tiene que introducir la palabra advisory (aviso) junto con el nombre CVE para recuperar sólo los avisos de seguridad.

Además, Debian proporciona una completa tabla de referencias cruzadas, que incluye todas las referencias disponibles para todos los avisos publicados desde 1997. Esta tabla se proporciona como complemento al mapa de referencias disponibles en CVE.

Preguntas frecuentes sobre el estado de compatibilidad con CVE

1. ¿Cuál es el estado actual de Debian en el proceso de CVE?
2. ¿Por qué no encuentro un determinado nombre CVE?
3. ¿Qué diferencia hay entre un nombre CVE y un candidato a nombre CVE?
4. ¿Dónde puedo obtener más información?

P: ¿Cuál es el estado actual de Debian en el proceso de CVE?

Los avisos de seguridad de Debian han sido declarados compatibles con CVE el 24 de febrero de 2004. Hay disponible más información en el sitio del CVE, incluyendo las respuestas del cuestionario de compatibilidad.

P: ¿Por qué no encuentro un determinado nombre CVE?

Es posible que no encuentre un determinado nombre CVE en algun aviso de seguridad publicado por Debian. Ésto se debe habitualmente a alguna de las siguientes razones:

• La vulnerabilidad a la que hace referencia el nombre CVE no afecta a ningún producto de Debian.
• Aún no se ha publicado un aviso que resuelva la vulnerabilidad a la que se hace referencia.
• El aviso de seguridad fue publicado antes de que se asignara un nombre CVE a la vulnerabilidad a la que hace referencia.

P: ¿Qué diferencia hay entre un nombre CVE y un candidato a nombre CVE?

(del sitio del CVE)

Los candidatos a nombre CVE son aquellas vulnerabilidades o exposiciones para los que aún se está discutiendo su inclusión. Se asignan nombres especiales a los nombres candidatos para distinguirlos de las entradas de CVE oficiales.

Sin embargo, estos números se convierten en entradas de CVE si los nombres candidatos se aceptan en CVE. Por ejemplo, un número de candidato podría ser CAN-1999-0067, mientras que el el número CVE definitivo sería CVE-1999-0067. La asignación de un número al nombre candidato no garantiza que se convierta en una entrada CVE oficial.

La base de datos de avisos publicados se revisa periódicamente para determinar qué candidatos han sido aceptados como nombres CVE oficiales.

Para más información, consulte la información disponible sobre candidatos a CVE.

P: ¿Dónde puedo obtener más información?

Para más información, visite el sitio web del CVE.

---

Volver a la página principal de Debian.

---

Esta página también está disponible en los siguientes idiomas:

dansk Deutsch English français Italiano Nederlands 日本語 (Nihongo) Português Русский (Russkij) suomi svenska

Cómo modificar el idioma por defecto de los documentos

---