Debians sikkerhedsbulletin

DSA-1617-1 refpolicy -- inkompatibel policy

Rapporteret den:
25. jul 2008
Berørte pakker:
refpolicy
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 490271.
I Mitres CVE-ordbog: CVE-2008-1447.
Yderligere oplysninger:

In DSA-1603-1 udgav Debian en opdatering til BIND 9-domænenavnsserveren, som introducerede UDP-kildeports-randomnisering til at nedsætte truslen ved DNS-cache-forgiftningsangreb (registreret af projektet Common Vulnerabilities and Exposures som CVE-2008-1447). Om end rettelsen var korrekt, var den inkompatibel med versionen af SELinux Reference Policy distribueret i Debian etch, hvilket ikke tillod at en proces kørte i domænet named_t til at forbinde sockets til andre UDP-porte end standard-'domain'-porten (53). Inkompatibiliteten påvirker måde policypakkerne 'targeted' og 'strict' der følger med denne version af refpolicy.

Denne opdatering af refpolicy-pakkerne giver mulighed for at forbinde en vilkårlig UDP-port til en named_t-processer. Når de opdaterede pakker er installeret, vil de forsøge at opdatere bind-policymodulet på systemer, hvor det tidligere var indlæst og hvor den tidligere version af refpolicy var 0.0.20061018-5 eller lavere.

Da Debians refpolicy-pakker endnu ikke er designet med det formål at kunne opgradere policymoduler, og fordi SELinux-aktiverede Debian-systemer ofte har en vis grad af stedspecifik policytilpasning, er det svært at sikre at den nye bindpolicy kan opgraderes med succes. Til det formål vil pakkeopgraderingen ikke blive afbrudt hvis bindpolicyopdateringen ikke lykkes. Det nye policymodul findes i /usr/share/selinux/refpolicy-targeted/bind.pp efter installeringen. Administratorer, der ønsker at anvende bindservicepolity, kan kan forene alle policyinkompatibiliteter og derefter manuelt installere opgraderingen. En mere udførlig beskrivelse af den korrigerende procedure finde på http://wiki.debian.org/SELinux/Issues/BindPortRandomization.

I den stabile distribution (etch), er dette problem rettet i version 0.0.20061018-5.1+etch1.

Den ustabile distribution (sid) er ikke påvirket, da efterfølgende refpolicy-udgivelser indeholder en analog ændring.

Vi anbefaler at du opgraderer dine refpolicy-pakker.

Rettet i:

Debian GNU/Linux 4.0 (etch)

Kildekode:
http://security.debian.org/pool/updates/main/r/refpolicy/refpolicy_0.0.20061018.orig.tar.gz
http://security.debian.org/pool/updates/main/r/refpolicy/refpolicy_0.0.20061018-5.1+etch1.diff.gz
http://security.debian.org/pool/updates/main/r/refpolicy/refpolicy_0.0.20061018-5.1+etch1.dsc
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-strict_0.0.20061018-5.1+etch1_all.deb
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-doc_0.0.20061018-5.1+etch1_all.deb
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-targeted_0.0.20061018-5.1+etch1_all.deb
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-src_0.0.20061018-5.1+etch1_all.deb
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-dev_0.0.20061018-5.1+etch1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.