aboutsummaryrefslogtreecommitdiffstats
path: root/danish/security/2007/dsa-1271.wml
blob: ce59cd194e52d480ffa207e701b79bab3f508fa3 (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

<define-tag description>designfejl</define-tag>
<define-tag moreinfo>
<p>En designfejl er fundet i OpenAFS, et distribueret filsystem der virker på
tværs af platforme, og som er indeholdt i Debian.</p>

<p>OpenAFS har af historiske grunde aktiveret setuid-filesystemsunderstøttelse
i den lokale celle.  Men med dens eksisterende protokol, kan OpenAFS kun 
anvende kryptering, og derfor integritetsbeskyttelse, hvis brugeren er 
autentificeret.  Uautentificeret adgang medfører ikke integritetsbeskyttelse.
Det praktiske resultat heraf er, at det var muligt for en angriber med viden
om AFS at fremstille et AFS FetchStatus-kald og lade en binær fil vise sig for
en AFS-klient som værende setuid.  Hvis angriberen dernæst kunne sørge for at
filen blev kørt, ville vedkommende kunne opnå rettighedsforøgelse.</p>

<p>OpenAFS 1.3.81-3sarge2 ændrer standardvirkemåden til at deaktivere 
setuid-filer globalt, deriblandt den lokale celle.  Det er vigtigt at bemærke,
at denne ændring vil træde i kraft før AFS-kernemodulet, bygget fra pakken 
openafs-modules-source, er blevet genopbygget og indlæst i din kerne.  Som en
midlertidig løsning, indtil kernemodulet kan genindlæses, kan 
setuid-understøttelse manuelt slås fra i den lokale celle ved at køre følgende
kommando som root</p>

<p><kbd>fs setcell -cell &lt;localcell&gt; -nosuid</kbd></p>

<p>Efter anvendelse af denne opdatering, hvis du er sikker på at der ikke er en 
sikkerhedsrisiko ved at en angriber forfalske AFS-filserversvar, kan den
genaktivere setuid-status selektivt med følgende kommando, men det bør ikke gøre
på maskiner der er synlige på internettet</p>

<p><kbd>fs setcell -cell &lt;localcell&gt; -suid</kbd></p>

<p>I den stabile distribution (sarge), er dette problem rettet i
version 1.3.81-3sarge2.</p>

<p>I den ustabile distribution (sid) og den kommende stabile distribution 
(etch), vil dette problem blive rettet i version 1.4.2-6.</p>

<p>Vi anbefaler at du opgraderer din openafs-pakke.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2007/dsa-1271.data"
#use wml::debian::translation-check translation="53450dc80643a3148ab930ae247d630ce7047b9e" mindelta="1"

© 2014-2024 Faster IT GmbH | imprint | privacy policy