Bulletin d'alerte Debian

DSA-1271-1 openafs -- Erreur de conception

Date du rapport :
20 mars 2007
Paquets concernés :
openafs
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2007-1507.
Plus de précisions :

Une erreur de conception a été identifiée dans OpenAFS, un système de fichiers distribué inter-plates-formes inclus dans Debian.

OpenAFS avait historiquement activé la gestion du système de fichier avec l'utilisation de l'identifiant de l'utilisateur pour la cellule locale. Cependant, avec son protocole existant, OpenAFS ne pouvait utiliser que le chiffrement, et donc la protection d'intégrité si l'utilisateur était authentifié. Les accès non authentifiés ne font pas de protection d'intégrité. Le résultat pratique est qu'il est possible pour un attaquant connaissant AFS de falsifier un appel AFS FetchStatus et faire apparaître un fichier binaire arbitraire comme ayant l'identifiant de l'utilisateur sur un client AFS. S'il arrive alors à faire exécuter ce fichier, il peut augmenter ses privilèges sur le système.

OpenAFS 1.3.81-3sarge2 modifie le comportement par défaut et désactive totalement l'utilisation de l'identifiant de l'utilisateur des fichiers, y compris pour la cellule locale. Il est important de noter que cette modification ne prendra effet qu'après que le module AFS du noyau, construit à partir du paquet openafs-modules-source, a été reconstruit et chargé dans votre noyau. Comme contournement temporaire, jusqu'au rechargement du module du noyau, la gestion de l'utilisation de l'identifiant de l'utilisateur peut être désactivée manuellement pour la cellule locale en exécutant la commande suivante en tant que superutilisateur :

fs setcell -cell <localcell> -nosuid

Après avoir réalisé cette mise à jour, si vous êtes sûrs qu'il n'y a pas de risque de sécurité qu'un attaquant falsifie les réponses du serveur de fichiers AFS, vous pouvez réactiver de manière sélective l'état d'utilisation de l'identifiant d'utilisateur avec la commande suivante, cependant cela ne devrait pas être fait sur les sites visibles de l'Internet :

fs setcell -cell <localcell> -suid

Pour la distribution stable (Sarge), ce problème a été corrigé dans la version 1.3.81-3sarge2.

Pour la distribution instable (Sid) et la prochaine distribution stable (Etch), ce problème sera corrigé dans la version 1.4.2-6.

Nous vous recommandons de mettre à jour votre paquet openafs.

Corrigé dans :

Debian GNU/Linux 3.1 (stable)

Source :
http://security.debian.org/pool/updates/main/o/openafs/openafs_1.3.81-3sarge2.dsc
http://security.debian.org/pool/updates/main/o/openafs/openafs_1.3.81-3sarge2.diff.gz
http://security.debian.org/pool/updates/main/o/openafs/openafs_1.3.81.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/o/openafs/openafs-modules-source_1.3.81-3sarge2_all.deb
Alpha:
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_alpha.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_alpha.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_alpha.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_alpha.deb
http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_alpha.deb
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_amd64.deb
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_amd64.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_amd64.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_amd64.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_amd64.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_amd64.deb
HP Precision:
http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_hppa.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_hppa.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_hppa.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_hppa.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_hppa.deb
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_i386.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_i386.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_i386.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_i386.deb
http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_i386.deb
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_ia64.deb
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_ia64.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_ia64.deb
http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_ia64.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_ia64.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_ia64.deb
PowerPC:
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_powerpc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_powerpc.deb
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_powerpc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_powerpc.deb
http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_powerpc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_s390.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_s390.deb
http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_s390.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_s390.deb
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_s390.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_sparc.deb
http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_sparc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_sparc.deb
http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_sparc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_sparc.deb
http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.