Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-1271-1 openafs -- Design-Fehler

Datum des Berichts:

20. Mär 2007

Betroffene Pakete:

openafs

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2007-1507.

Weitere Informationen:

Ein Design-Fehler wurde in OpenAFS, einem plattformübergreifenden verteilten Dateisystem, das mit Debian vertrieben wird, entdeckt.

OpenAFS hat aus historischen Gründen SetUID-Dateisystemunterstützung für die lokale Zelle aktiviert. Mit seinem existierenden Protokoll, kann OpenAFS jedoch nur dann eine Verschlüsselung, und damit Integritätsschutz, verwenden, falls der Benutzer authentifiziert ist. Nicht authentifizierter Zugriff nimmt keinen Integritätsschutz vor. Das praktische Ergebnis ist, dass es für einen Angreifer mit Wissen über AFS möglich ist, einen AFS-FetchStatus-Aufruf zu fälschen und einem AFS-Client-Rechner weiszumachen, dass eine beliebige Binärdatei SetUID ist. Falls das Binärprogramm zur Ausführung gebracht wird, würde dies zu einer Privilegienerweiterung führen können.

OpenAFS 1.3.81-3sarge2 ändert das Standardverhalten und deaktiviert SetUID-Dateien global, inklusive der lokalen Zelle. Es ist wichtig zu verstehen, dass diese Änderung keine Auswirkungen haben wird, bis das AFS-Kernel-Modul, das aus dem Paket openafs-modules-source gebaut wird, neu erstellt und in den Kernel geladen wurde. Als temporärer Workaround bis das Kernel-Modul neugeladen werden kann, ist es möglich, Unterstützung für SetUID manuell für die lokale Zelle zu deaktivieren, indem folgendes Kommando als root ausgeführt wird:

fs setcell -cell <lokaleZelle> -nosuid

Hat man die Aktualisierung durchgeführt, kann man den SetUID-Status wieder selektiv aktivieren, falls man sicher ist, dass es kein Risiko gibt, dass ein Angreifer AFS-Dateiserver-Antworten fälscht. Dies sollte jedoch nicht auf Sites getan werden, die vom Internet aus sichtbar sind. Das Kommando lautet:

fs setcell -cell <localeZelle> -suid

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 1.3.81-3sarge2 behoben.

Für die Unstable-Distribution (Sid) und die kommende Stable-Distribution (Etch) wird dieses Problem in Version 1.4.2-6 behoben sein.

Wir empfehlen Ihnen, Ihr openafs-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (stable)

Quellcode:

http://security.debian.org/pool/updates/main/o/openafs/openafs_1.3.81-3sarge2.dsc

http://security.debian.org/pool/updates/main/o/openafs/openafs_1.3.81-3sarge2.diff.gz

http://security.debian.org/pool/updates/main/o/openafs/openafs_1.3.81.orig.tar.gz

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/o/openafs/openafs-modules-source_1.3.81-3sarge2_all.deb

Alpha:

http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_alpha.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_alpha.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_alpha.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_alpha.deb

http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_alpha.deb

http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_alpha.deb

AMD64:

http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_amd64.deb

http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_amd64.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_amd64.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_amd64.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_amd64.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_amd64.deb

HP Precision:

http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_hppa.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_hppa.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_hppa.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_hppa.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_hppa.deb

http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_i386.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_i386.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_i386.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_i386.deb

http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_i386.deb

http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_ia64.deb

http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_ia64.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_ia64.deb

http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_ia64.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_ia64.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_ia64.deb

PowerPC:

http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_powerpc.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_powerpc.deb

http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_powerpc.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_powerpc.deb

http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_powerpc.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_s390.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_s390.deb

http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_s390.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_s390.deb

http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_s390.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/o/openafs/openafs-client_1.3.81-3sarge2_sparc.deb

http://security.debian.org/pool/updates/main/o/openafs/libpam-openafs-kaserver_1.3.81-3sarge2_sparc.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-fileserver_1.3.81-3sarge2_sparc.deb

http://security.debian.org/pool/updates/main/o/openafs/libopenafs-dev_1.3.81-3sarge2_sparc.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-dbserver_1.3.81-3sarge2_sparc.deb

http://security.debian.org/pool/updates/main/o/openafs/openafs-kpasswd_1.3.81-3sarge2_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English français svenska

Wie stellt man die Standardsprache ein