Bulletin d'alerte Debian

DSA-1617-1 refpolicy -- Règles incompatibles

Date du rapport :
25 juillet 2008
Paquets concernés :
refpolicy
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 490271.
Dans le dictionnaire CVE du Mitre : CVE-2008-1447.
Plus de précisions :

Dans le bulletin de sécurité Debian n° DSA-1603-1, Debian a publié une mise à jour de la version 9 du serveur de noms de domaines BIND qui introduisait la sélection aléatoire de port UDP source pour atténuer la menace d'attaques par empoisonnement du cache DNS (identifié par le projet des expositions et vulnérabilités communes (CVE) sous la référence CVE-2008-1447). Ce correctif, bien que correct, était incompatible avec la version des règles de référence SELinux fournies avec la version Etch de Debian, ce qui ne permettait pas à un processus fonctionnant dans le domaine named_t de lier des sockets à d'autres ports UDP que le port domain standard (53). Cette incompatibilité affecte à la fois les paquets de règles targeted et strict fournis par cette version de refpolicy.

Cette mise à jour des paquets refpolicy donne la possibilité de lier des ports UDP arbitraires aux processus named_t. Après l'installation, les paquets mis à jour essayeront de mettre à jour le module de règles de bind sur les systèmes où il était précédemment chargé et où la version précédente de refpolicy antérieure où égale à la 0.0.20061018-5.

Comme les paquets refpolicy de Debian ne sont pas encore conçus pour une mise à jour facile du module de règles, et comme les systèmes Debian avec SELinux d'activé ont souvent un certain degré de personnalisation des règles spécifiques aux sites, il est difficile d'assurer que les nouvelles règles de bind peuvent être mises en place avec succès. La mise à jour du paquet ne s'arrête pas si la mise à jour des règles de bind échoue. Le nouveau module de règles se trouve dans /usr/share/selinux/refpolicy-targeted/bind.pp après l'installation. Les administrateurs qui souhaitent utiliser la règles du service bind peuvent corriger toutes les incompatibilités de règles et installer la mise à jour eux-mêmes ensuite. Une explication plus détaillée de la procédure de correction se trouve sur http://wiki.debian.org/SELinux/Issues/BindPortRandomization.

Pour la distribution stable (Etch), ce problème a été corrigé dans la version 0.0.20061018-5.1+etch1.

La distribution instable (Sid) n'est pas affectée par ce problème car les publications suivantes de refpolicy ont inclus des modifications analogues.

Nous vous recommandons de mettre à jour vos paquets refpolicy.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/r/refpolicy/refpolicy_0.0.20061018.orig.tar.gz
http://security.debian.org/pool/updates/main/r/refpolicy/refpolicy_0.0.20061018-5.1+etch1.diff.gz
http://security.debian.org/pool/updates/main/r/refpolicy/refpolicy_0.0.20061018-5.1+etch1.dsc
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-strict_0.0.20061018-5.1+etch1_all.deb
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-doc_0.0.20061018-5.1+etch1_all.deb
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-targeted_0.0.20061018-5.1+etch1_all.deb
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-src_0.0.20061018-5.1+etch1_all.deb
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-dev_0.0.20061018-5.1+etch1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.