Säkerhetsbulletin från Debian

DSA-1617-1 refpolicy -- inkompatibel policy

Rapporterat den:
2008-07-25
Berörda paket:
refpolicy
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 490271.
I Mitres CVE-förteckning: CVE-2008-1447.
Ytterligare information:

Med DSA-1603-1 släppte Debian en uppdatering till namnservern BIND 9, vilken introducerade slumpning av UDP-källportar för att minska hotet från DNS-förgiftningsangrepp (identifierat av projektet Common Vulnerabilities and Exposures som CVE-2008-1447). Rättelsen, i sig korrekt, var inkompatibel med versionen av SELinux-referenspolicyn som medföljde Debian Etch, och som inte tillät en process som körde i named_t-domänen att ansluta till uttag på UDP-portar bortsett från den normala ”domain”-porten (53). Inkompatibiliteten gäller både för ”targeted”- och ”strict”-policypaketen som fanns i den här versionen av refpolicy.

Den här uppdateringen av refpolicy-paketen tilldelar named_t-processer möjligheten att ansluta till godtyckliga UDP-portar. Efter installationen kommer det uppdaterade paketet att försöka uppdatera bind-policymodulen på system där den redan har lästs in och den tidigare versionen av refpolicy var 0.0.20061018-5 eller tidigare.

Eftersom Debians refpolicypaket ännu inte har skrivits för att hantera uppgraderbarhet i policymodulen, och eftersom Debiansystem med SELinux aktiverat ofta har en viss grad av platsspecifik justering av policyn är det svårt att säkerställa att den nya bind-policyn kan uppdateras utan problem. Paketuppgraderingen kommer därför inte att avbrytas om bind-policyuppdateringen misslyckas. Den nya policymodulen finns i /usr/share/selinux/refpolicy-targeted/bind.pp efter installationen. Administratörer som vill använda bind-servicepolicyn kan lösa eventuella inkompatibiliteter i policyn och efteråt installera uppgradering manuellt. En mer detaljerad diskussion om rättningsproceduren finns på http://wiki.debian.org/SELinux/Issues/BindPortRandomization.

För den stabila utgåvan (Etch) har detta problem rättats i version 0.0.20061018-5.1+etch1.

Den instabila utgåvan (Sid) påverkas inte, eftersom senare refpolicy-utgåvor innehåller en motsvarande ändring.

Vi rekommenderar att ni uppgraderar era refpolicy-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/r/refpolicy/refpolicy_0.0.20061018.orig.tar.gz
http://security.debian.org/pool/updates/main/r/refpolicy/refpolicy_0.0.20061018-5.1+etch1.diff.gz
http://security.debian.org/pool/updates/main/r/refpolicy/refpolicy_0.0.20061018-5.1+etch1.dsc
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-strict_0.0.20061018-5.1+etch1_all.deb
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-doc_0.0.20061018-5.1+etch1_all.deb
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-targeted_0.0.20061018-5.1+etch1_all.deb
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-src_0.0.20061018-5.1+etch1_all.deb
http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-dev_0.0.20061018-5.1+etch1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.