blob: 613de440be0ca958c027a1a7ff3f2c142c98e5fc (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
|
<define-tag description>inkompatibel policy</define-tag>
<define-tag moreinfo>
<p>In DSA-1603-1 udgav Debian en opdatering til BIND 9-domænenavnsserveren, som
introducerede UDP-kildeports-randomnisering til at nedsætte truslen ved
DNS-cache-forgiftningsangreb (registreret af projektet Common Vulnerabilities
and Exposures som <a href="https://security-tracker.debian.org/tracker/CVE-2008-1447">CVE-2008-1447</a>).
Om end rettelsen var korrekt, var den inkompatibel med versionen af SELinux
Reference Policy distribueret i Debian etch, hvilket ikke tillod at en proces
kørte i domænet named_t til at forbinde sockets til andre UDP-porte end
standard-'domain'-porten (53). Inkompatibiliteten påvirker måde policypakkerne
'targeted' og 'strict' der følger med denne version af refpolicy.</p>
<p>Denne opdatering af refpolicy-pakkerne giver mulighed for at forbinde en
vilkårlig UDP-port til en named_t-processer. Når de opdaterede pakker er
installeret, vil de forsøge at opdatere bind-policymodulet på systemer, hvor
det tidligere var indlæst og hvor den tidligere version af refpolicy var
0.0.20061018-5 eller lavere.</p>
<p>Da Debians refpolicy-pakker endnu ikke er designet med det formål at kunne
opgradere policymoduler, og fordi SELinux-aktiverede Debian-systemer ofte har
en vis grad af stedspecifik policytilpasning, er det svært at sikre at den nye
bindpolicy kan opgraderes med succes. Til det formål vil pakkeopgraderingen
ikke blive afbrudt hvis bindpolicyopdateringen ikke lykkes. Det nye
policymodul findes i /usr/share/selinux/refpolicy-targeted/bind.pp efter
installeringen. Administratorer, der ønsker at anvende bindservicepolity, kan
kan forene alle policyinkompatibiliteter og derefter manuelt installere
opgraderingen. En mere udførlig beskrivelse af den korrigerende procedure
finde på
<a href="https://wiki.debian.org/SELinux/Issues/BindPortRandomization">\
https://wiki.debian.org/SELinux/Issues/BindPortRandomization</a>.</p>
<p>I den stabile distribution (etch), er dette problem rettet i
version 0.0.20061018-5.1+etch1.</p>
<p>Den ustabile distribution (sid) er ikke påvirket, da efterfølgende
refpolicy-udgivelser indeholder en analog ændring.</p>
<p>Vi anbefaler at du opgraderer dine refpolicy-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1617.data"
#use wml::debian::translation-check translation="5011f532637dc7820b79b151eecfda4ab65aa22f" mindelta="1"
|