Arch Security Team (Español)

Esta traducción de Arch Security Team fue revisada el 2025-11-15. Si existen cambios puede actualizarla o avisar al equipo de traducción.

El Equipo de Seguridad de Arch es un grupo de voluntarios cuyo objetivo es rastrear problemas de seguridad con los paquetes Arch Linux. Todos los problemas son rastreados en el Arch Linux security tracker. El equipo fue anteriormente conocido como el Arch CVE Monitoring Team.

Misión

La misión del Equipo de Seguridad de Arch es contribuir a mejorar la seguridad de Arch Linux.

El deber más importante del equipo es encontrar y rastrear asignados como Vulnerabilidades y Exposiciones Comunes (CVE). Un CVE es público, este es identificado por un único ID de la forma CVE-YYYY-number.

Ellos publican ASA (Avisos de seguridad de Arch Linux), que son advertencias específicas de Arch Linux dirigidas a sus usuarios. Los ASA se programan en el sistema de seguimiento para su revisión por pares y requieren dos confirmaciones de los miembros del equipo antes de su publicación.

El sistema de seguimiento de seguridad de Arch Linux es una plataforma que utiliza el equipo de seguridad de Arch para realizar el seguimiento de paquetes, añadir CVE y generar avisos de seguridad.

Nota

Un Grupo de Vulnerabilidades Arch Linux (AVG) es un grupo de CVEs relacionados a un conjunto de paquetes sin el mismo pkgbase.
Los paquetes calificados para un aviso deben ser parte del repositorio core, extra o multilib.

Contribuir

Para participar en la identificación de vulnerabilidades, se recomienda:

Seguir el canal IRC #archlinux-security. Es el principal medio de comunicación para informar y debatir sobre CVE, paquetes afectados y la primera versión corregida.
Para recibir alertas tempranas sobre nuevos problemas, se recomienda consultar las #Listas de correo para obtener información sobre nuevas CVE, además de otras fuentes si fuera necesario.
Animamos a los voluntarios a revisar los avisos para detectar errores, preguntas o comentarios e informarlos en el canal IRC.
Suscribirse a las listas de correo arch-security^{[enlace roto 2025-11-16]} y oss-security.
Contribuir con código al proyecto arch-security-tracker (GitHub) es una excelente manera de colaborar con el equipo.
Se anima a las distribuciones derivadas que utilizan los repositorios de paquetes de Arch Linux a contribuir. Esto mejora la seguridad de todos los usuarios.

Procedimiento

El procedimiento a seguir cuando se detecta una vulnerabilidad de seguridad en un software empaquetado en los repositorios oficiales de Arch Linux es el siguiente:

Fase de investigación y compartición de información

Contacta con un miembro del Equipo de Seguridad de Arch a través de tu canal preferido para asegurarte de que el problema se haya notificado al equipo.
Para corroborar la vulnerabilidad, verifica el informe CVE con la versión actual del paquete (incluidos los posibles parches) y recopila toda la información posible sobre el problema, incluso a través de motores de búsqueda. Si necesitas ayuda para investigar el problema de seguridad, solicita asesoramiento o asistencia en el canal IRC.

Situación del proyecto original e informes de errores

Pueden darse dos situaciones:

Si el proyecto original publica una nueva versión que corrige el problema, el miembro del equipo de seguridad debe marcar el paquete como desactualizado.
- Si el paquete no se ha actualizado tras un largo periodo, se debe enviar un informe de error sobre la vulnerabilidad.
- Si se trata de un problema de seguridad crítico, se debe enviar un informe de error inmediatamente después de marcar el paquete como desactualizado.
Si no hay ninguna versión del proyecto original disponible, se debe enviar un informe de error incluyendo los parches para su mitigación. La siguiente información debe incluirse en el informe de errores:
- Descripción del problema de seguridad y su impacto
- Enlaces a los CVE-ID y al informe original
- Si no hay ninguna versión disponible, enlaces a los parches (o archivos adjuntos) originales que mitigan el problema

Seguimiento y publicación

Los miembros del equipo deben realizar las siguientes tareas:

Un miembro del equipo creará un aviso en el rastreador de seguridad de Arch Linux y añadirá los CVE para su seguimiento.
Un miembro del equipo con acceso a arch-security generará un aviso de seguridad a partir del rastreador y lo publicará.

Nota Si desea reportar un error privado, póngase en contacto con security@archlinux.org.[1] Tenga en cuenta que la dirección para reportar errores privados es security, no arch-security. Un error privado es aquel que es demasiado sensible para publicarlo donde cualquiera pueda leerlo y explotarlo; por ejemplo, vulnerabilidades en la infraestructura de Arch Linux.

Recursos

RSS

Base de Datos Nacional de Vulnerabilidades (NVD): Todas las vulnerabilidades CVE: https://nvd.nist.gov/download/nvd-rss.xml^{[enlace roto 2025-11-16]}^{[enlace roto 2025-08-15]}; Todas las vulnerabilidades CVE analizadas completamente: https://nvd.nist.gov/download/nvd-rss-analyzed.xml^{[enlace roto 2025-11-16]}^{[enlace roto 2025-08-15]}

Listas de correo

oss-sec: Lista principal sobre seguridad del software libre. Aquí se publican muchas atribuciones de CVE; imprescindible para estar al día de las noticias de seguridad.; Información: https://oss-security.openwall.org/wiki/mailing-lists/oss-security; Suscripción: oss-security-subscribe(at)lists.openwall.com; Archivo: https://www.openwall.com/lists/oss-security/

Divulgación completa: Otra lista de correo para divulgaciones completas (muy activa).; Información: https://nmap.org/mailman/listinfo/fulldisclosure; Suscripción: full-disclosure-request(at)seclists.org

También puede seguir las listas de correo de paquetes específicos, como LibreOffice, X.org, Puppetlabs, ISC, etc.

Otras distribuciones

Recursos de otras distribuciones (para buscar CVE, parches, comentarios, etc.):

Red Hat y Fedora

Fuente de avisos: https://bodhi.fedoraproject.org/rss/updates/?type=security

Rastreador de CVE: https://access.redhat.com/security/cve/<CVE-ID>

Rastreador de errores: https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>

Ubuntu: Fuente de avisos: https://usn.ubuntu.com/usn/atom.xml; Rastreador de CVE: https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>; Base de datos: https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master

Debian: Rastreador de CVE: https://security-tracker.debian.org/tracker/<CVE-ID>/; Rastreador de parches: https://tracker.debian.org/pkg/patch; Base de datos: https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data

OpenSUSE: Rastreador de CVE: https://www.suse.com/security/cve/<CVE-ID>/

Otros

Enlaces de Mitre y NVD para CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>; https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>

NVD y Mitre no necesariamente completan su entrada CVE inmediatamente después de la atribución, por lo que no siempre es relevante para Arch. Los campos CVE-ID y "Fecha de creación de la entrada" no tienen un significado particular. Las CVE son atribuidas por las Autoridades de Numeración CVE (CNA), y cada CNA obtiene bloques CVE de Mitre cuando los necesita o solicita, por lo que el CVE-ID no está vinculado a la fecha de atribución. El campo "Fecha de creación de la entrada" a menudo solo indica cuándo se entregó el bloque CVE a la CNA, nada más.

Linux Weekly News: LWN proporciona un aviso diario de actualizaciones de seguridad para diversas distribuciones.; https://lwn.net/headlines/newrss

Más

Para obtener más recursos, consulte la wiki de seguridad de software de código abierto de OpenWall.

Miembros del equipo

Los miembros actuales del equipo de seguridad de Arch son:

Sugerencia Escriba !pingsec Mensaje al Equipo de Seguridad de Arch en cualquier canal IRC donde phrik esté presente para destacar a todos los miembros actuales del equipo de seguridad