Log in Page Discussion History Go to the site toolbox

050808/DSA-1617

From BluWiki

DSA-1617 refpolicy / política incompatible

Fecha del reporte: 25 Jul 2008

Paquetes afectados: refpolicy

Más información: En el DSA-1603-1, Debian liberó una actualización para el servidor de nombre de dominio BIND 9, que introdujo aleatoriedad para mitigar la amenaza de ataques por envenenamiento del cache del DNS (identificado por el proyecto Common Vulnerabilities and Exposures como CVE-2008-1447). La solución, aunque correcta, era incompatible con la versión de Políticas de referencia de SELinux incluidas en Debian Etch, lo que no permitía a un proceso named_t, corriendo en el dominio, enlazar sockets a puertos UDP que no fueran el puerto para dominios estándar (el 53). La incompatibilidad afectó a las políticas de paquetes 'targeted' y 'strict' suministradas por esta versión de refpolicy.

Esta actualización a los paquetes refpolicy garantiza la capacidad para enlazar cualquier puerto UDP a los procesos named_t. Cuando es instalado, el paquete actualizado, intentará actualizar el modulo de políticas de enlazado en sistemas donde este ha sido previamente cargado y donde la versión instalada de refpolicy era 0.0.20061018-5 o anterior.

Ya que el paquete refpolicy de Debian no está aun diseñado con capacidad para la actualización del modulo de políticas en mente, y ya que los sistemas Debian con SELinux habilitado suelen tener algún nivel de personalización de políticas locales especificas, es difícil asegurar que la nueva política de enlazado pueda ser exitosamente instalada. A este fin, la instalación del paquete no abortará si la actualización de la política de enlazado falla. El nuevo modulo de políticas se encuentra en /usr/share/selinux/refpolicy-targeted/bind.pp luego de la instalación. Administradores que necesiten usar el servicio de políticas de enlazado pueden resolver cualquier incompatibilidad de políticas y posteriormente instalar la actualización de forma manual. Una discusión más detallada del procedimiento de corrección puede ser consultada aquí:

http://wiki.debian.org/SELinux/Issues/BindPortRandomization

Para la distribución estable (etch), este problema ha sido arreglado en la versión 0.0.20061018-5.1+etch1.

La distribución inestable (sid) no fue afectada, como consecuencia la versión actualizada de refpolicy ha sido incorporada como un cambio análogo.

Le recomendamos actualizar su paquete refpolicy.

Original (en inglés): http://lists.debian.org/debian-security-announce/2008/msg00201.html

Site Toolbox:

Personal tools
GNU Free Documentation License 1.2
This page was last modified on 25 July 2008, at 12:47.
Disclaimers - About BluWiki