1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
|
#use wml::debian::translation-check translation="53450dc80643a3148ab930ae247d630ce7047b9e" maintainer="Lev Lamberov"
<define-tag description>ошибка проектирования</define-tag>
<define-tag moreinfo>
<p>В OpenAFS, кроссплатформенной распределённой файловой системе, входящей в состав
Debian, была обнаружена ошибка проектирования.</p>
<p>Исторически в OpenAFS была включена поддержка setuid для локальной
ячейки. Тем не менее, с существующим протоколом файловая система OpenAFS
может лишь использовать шифрование и защиту целостности в том случае, если пользователь
аутентифицирован. Неаутентифицированный доступ не предполагает защиту целостности данных.
В итоге злоумышленник, обладающий знаниями AFS, может подделать AFS-вызов
FetchStatus и сделать так, чтобы произвольный двоичный файл на клиентском AFS-узле
имел флаг setuid. Если затем злоумышленник может сделать так, чтобы этот файл
был выполнен, то он может повысить свои привилегии
в системе.</p>
<p>В OpenAFS версии 1.3.81-3sarge2 произведены изменения поведения по умолчанию. Теперь
файлы setuid отключены глобально, включая и локальную ячейку. Важно отметить, что
данное изменение не будет применено до тех пор, пока AFS-модуль ядра, собранный из
пакета openafs-modules-source, не будет собран и загружен заново в ваше
ядро. В качестве временного решения указанной проблемы до момента перезагрузки модуля
ядра поддержку setuid для локальной ячейки можно отключить вручную,
выполнив следующую команду от лица суперпользователя</p>
<p><kbd>fs setcell -cell <localcell> -nosuid</kbd></p>
<p>Если вы уверены, что после применения данного обновления для вас отсутствует
риск того, что злоумышленник подделает ответы файлового сервера AFS, то вы
можете выборочно включить setuid-статус с помощью указанной ниже команды, но
этого не следует делать на машинах, видимых в сети
Интернет</p>
<p><kbd>fs setcell -cell <localcell> -suid</kbd></p>
<p>В стабильном выпуске (sarge) эта проблема была исправлена в
версии 1.3.81-3sarge2.</p>
<p>В нестабильном (sid) и готовящемся стабильном (etch) выпусках
эта проблема будет исправлена в версии 1.4.2-6.</p>
<p>Рекомендуется обновить пакет openafs.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2007/dsa-1271.data"
# $Id$
|