Säkerhetsbulletin från Debian
DSA-1617-1 refpolicy -- inkompatibel policy
- Rapporterat den:
- 2008-07-25
- Berörda paket:
- refpolicy
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 490271.
I Mitres CVE-förteckning: CVE-2008-1447. - Ytterligare information:
-
Med DSA-1603-1 släppte Debian en uppdatering till namnservern BIND 9, vilken introducerade slumpning av UDP-källportar för att minska hotet från DNS-förgiftningsangrepp (identifierat av projektet Common Vulnerabilities and Exposures som CVE-2008-1447). Rättelsen, i sig korrekt, var inkompatibel med versionen av SELinux-referenspolicyn som medföljde Debian Etch, och som inte tillät en process som körde i named_t-domänen att ansluta till uttag på UDP-portar bortsett från den normala ”domain”-porten (53). Inkompatibiliteten gäller både för ”targeted”- och ”strict”-policypaketen som fanns i den här versionen av refpolicy.
Den här uppdateringen av refpolicy-paketen tilldelar named_t-processer möjligheten att ansluta till godtyckliga UDP-portar. Efter installationen kommer det uppdaterade paketet att försöka uppdatera bind-policymodulen på system där den redan har lästs in och den tidigare versionen av refpolicy var 0.0.20061018-5 eller tidigare.
Eftersom Debians refpolicypaket ännu inte har skrivits för att hantera uppgraderbarhet i policymodulen, och eftersom Debiansystem med SELinux aktiverat ofta har en viss grad av platsspecifik justering av policyn är det svårt att säkerställa att den nya bind-policyn kan uppdateras utan problem. Paketuppgraderingen kommer därför inte att avbrytas om bind-policyuppdateringen misslyckas. Den nya policymodulen finns i /usr/share/selinux/refpolicy-targeted/bind.pp efter installationen. Administratörer som vill använda bind-servicepolicyn kan lösa eventuella inkompatibiliteter i policyn och efteråt installera uppgradering manuellt. En mer detaljerad diskussion om rättningsproceduren finns på https://wiki.debian.org/SELinux/Issues/BindPortRandomization.
För den stabila utgåvan (Etch) har detta problem rättats i version 0.0.20061018-5.1+etch1.
Den instabila utgåvan (Sid) påverkas inte, eftersom senare refpolicy-utgåvor innehåller en motsvarande ändring.
Vi rekommenderar att ni uppgraderar era refpolicy-paket.
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/r/refpolicy/refpolicy_0.0.20061018.orig.tar.gz
- http://security.debian.org/pool/updates/main/r/refpolicy/refpolicy_0.0.20061018-5.1+etch1.diff.gz
- http://security.debian.org/pool/updates/main/r/refpolicy/refpolicy_0.0.20061018-5.1+etch1.dsc
- http://security.debian.org/pool/updates/main/r/refpolicy/refpolicy_0.0.20061018-5.1+etch1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-strict_0.0.20061018-5.1+etch1_all.deb
- http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-doc_0.0.20061018-5.1+etch1_all.deb
- http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-targeted_0.0.20061018-5.1+etch1_all.deb
- http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-src_0.0.20061018-5.1+etch1_all.deb
- http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-dev_0.0.20061018-5.1+etch1_all.deb
- http://security.debian.org/pool/updates/main/r/refpolicy/selinux-policy-refpolicy-doc_0.0.20061018-5.1+etch1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.