aboutsummaryrefslogtreecommitdiffstats
path: root/german/security/2007/dsa-1271.wml
blob: ca6b5b9339c6b524b3ce034418458666e5f3eac8 (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

<define-tag description>Design-Fehler</define-tag>
<define-tag moreinfo>
<p>Ein Design-Fehler wurde in OpenAFS, einem plattformübergreifenden
verteilten Dateisystem, das mit Debian vertrieben wird, entdeckt.</p>

<p>OpenAFS hat aus historischen Gründen SetUID-Dateisystemunterstützung für
die lokale Zelle aktiviert. Mit seinem existierenden Protokoll, kann OpenAFS
jedoch nur dann eine Verschlüsselung, und damit Integritätsschutz, verwenden,
falls der Benutzer authentifiziert ist. Nicht authentifizierter Zugriff nimmt
keinen Integritätsschutz vor. Das praktische Ergebnis ist, dass es für einen
Angreifer mit Wissen über AFS möglich ist, einen AFS-FetchStatus-Aufruf zu
fälschen und einem AFS-Client-Rechner weiszumachen, dass eine beliebige
Binärdatei SetUID ist. Falls das Binärprogramm zur Ausführung gebracht wird,
würde dies zu einer Privilegienerweiterung führen können.</p>

<p>OpenAFS 1.3.81-3sarge2 ändert das Standardverhalten und deaktiviert
SetUID-Dateien global, inklusive der lokalen Zelle. Es ist wichtig zu
verstehen, dass diese Änderung keine Auswirkungen haben wird, bis das
AFS-Kernel-Modul, das aus dem Paket openafs-modules-source gebaut wird,
neu erstellt und in den Kernel geladen wurde. Als temporärer Workaround
bis das Kernel-Modul neugeladen werden kann, ist es möglich, Unterstützung
für SetUID manuell für die lokale Zelle zu deaktivieren, indem folgendes
Kommando als root ausgeführt wird:</p>

<p><kbd>fs setcell -cell &lt;lokaleZelle&gt; -nosuid</kbd></p>

<p>Hat man die Aktualisierung durchgeführt, kann man den SetUID-Status wieder
selektiv aktivieren, falls man sicher ist, dass es kein Risiko gibt, dass ein
Angreifer AFS-Dateiserver-Antworten fälscht. Dies sollte jedoch nicht auf
Sites getan werden, die vom Internet aus sichtbar sind. Das Kommando lautet:</p>

<p><kbd>fs setcell -cell &lt;localeZelle&gt; -suid</kbd></p>

<p>Für die Stable-Distribution (Sarge) wurde dieses Problem in Version
1.3.81-3sarge2 behoben.</p>

<p>Für die Unstable-Distribution (Sid) und die kommende Stable-Distribution
(Etch) wird dieses Problem in Version 1.4.2-6 behoben sein.</p>

<p>Wir empfehlen Ihnen, Ihr openafs-Paket zu aktualisieren.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2007/dsa-1271.data"
# $Id$
#use wml::debian::translation-check translation="53450dc80643a3148ab930ae247d630ce7047b9e"

© 2014-2024 Faster IT GmbH | imprint | privacy policy