aboutsummaryrefslogtreecommitdiffstats
path: root/russian/security/2007/dsa-1271.wml
blob: faddf61ec2a4c90b0996907498c6772affddb8bd (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

#use wml::debian::translation-check translation="53450dc80643a3148ab930ae247d630ce7047b9e" maintainer="Lev Lamberov"
<define-tag description>ошибка проектирования</define-tag>
<define-tag moreinfo>
<p>В OpenAFS, кроссплатформенной распределённой файловой системе, входящей в состав
Debian, была обнаружена ошибка проектирования.</p>

<p>Исторически в OpenAFS была включена поддержка setuid для локальной
ячейки. Тем не менее, с существующим протоколом файловая система OpenAFS
может лишь использовать шифрование и защиту целостности в том случае, если пользователь
аутентифицирован. Неаутентифицированный доступ не предполагает защиту целостности данных.
В итоге злоумышленник, обладающий знаниями AFS, может подделать AFS-вызов
FetchStatus и сделать так, чтобы произвольный двоичный файл на клиентском AFS-узле
имел флаг setuid. Если затем злоумышленник может сделать так, чтобы этот файл
был выполнен, то он может повысить свои привилегии
в системе.</p>

<p>В OpenAFS версии 1.3.81-3sarge2 произведены изменения поведения по умолчанию. Теперь
файлы setuid отключены глобально, включая и локальную ячейку. Важно отметить, что
данное изменение не будет применено до тех пор, пока AFS-модуль ядра, собранный из
пакета openafs-modules-source, не будет собран и загружен заново в ваше
ядро. В качестве временного решения указанной проблемы до момента перезагрузки модуля
ядра поддержку setuid для локальной ячейки можно отключить вручную,
выполнив следующую команду от лица суперпользователя</p>

<p><kbd>fs setcell -cell &lt;localcell&gt; -nosuid</kbd></p>

<p>Если вы уверены, что после применения данного обновления для вас отсутствует
риск того, что злоумышленник подделает ответы файлового сервера AFS, то вы
можете выборочно включить setuid-статус с помощью указанной ниже команды, но
этого не следует делать на машинах, видимых в сети
Интернет</p>

<p><kbd>fs setcell -cell &lt;localcell&gt; -suid</kbd></p>

<p>В стабильном выпуске (sarge) эта проблема была исправлена в
версии 1.3.81-3sarge2.</p>

<p>В нестабильном (sid) и готовящемся стабильном (etch) выпусках
эта проблема будет исправлена в версии 1.4.2-6.</p>

<p>Рекомендуется обновить пакет openafs.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2007/dsa-1271.data"
# $Id$

© 2014-2024 Faster IT GmbH | imprint | privacy policy