FreeBSD-SA<span style="color: #cc66cc">-06</span>:15.ypserv<span> </span>Security Advisory<span>
</span>The FreeBSD Project
<span> </span>Temat:<span> </span>Bezskuteczna kontrola dostępu w ypserv(8).<span>
</span>Kategoria:<span> </span><span> </span>core<span>
</span>Moduł:<span> </span><span> </span><span> </span>ypserv<span>
</span>Ogłoszono:<span> </span><span> </span>2006-05-31<span>
</span>Podziękowania:<span> </span><span> </span>Hokan<span>
</span>Podatne wersje: <span> </span>All FreeBSD 5.x, 6.x<span><span>
</span>Poprawiono:<span> </span><span> </span>2006-05-31 22:31:21 UTC (RELENG_6, 6.1-STABLE)<span>
</span>2006-05-31 22:31:42 UTC (RELENG_6_1, 6.1-RELEASE-p1)<span>
</span><span> </span>2006-05-31 22:32:04 UTC (RELENG_6_0, 6.0-RELEASE-p8)<span>
</span>2006-05-31 22:32:22 UTC (RELENG_5, 5.5-STABLE)<span>
</span>2006-05-31 22:32:49 UTC (RELENG_5_5, 5.5-RELEASE-p1)<span>
</span>2006-05-31 22:33:17 UTC (RELENG_5_4, 5.4-RELEASE-p15)<span>
</span>2006-05-31 22:33:41 UTC (RELENG_5_3, 5.3-RELEASE-p30)<span>
</span>Nazwa CVE:<span> </span>CVE-2006-2655</span>
W celu pogłębienia informacji dotyczącej Ogłoszeń Bezpieczeństwa FreeBSD, włączając opisy pól powyżej, gałęzi bezpieczeństwa oraz poniższych sekcji proszę odwiedzić:
[URL:http://www.freebsd.org/security/]
I. Podstawy
Narzędzie ypserv(8) jest serwerem dystrybucji bazy danych NIS do klienta systemu w domenie NIS.
II. Opis problemu
Istnieją dwie udokumentowane metody pozwalające ograniczyć dostęp do map NIS, poprzez ypserv(8):
- wykorzystanie pliku /var/yp/securenets
- wykorzystanie pliku /etc/hosts.allow
Odkąd oba mechanizmy są zaimplementowane w serwerze, oile zmiana w procesie budowania powoduje nieuważne wyłączenie restrykcji związanych z dostępem poprzez "securenets".
III. Wpływ
ypserv(8) nie będzie ładował lub przetwarzał żadnych sieci/host'ów zapisanych w pliku /var/yp/securenets. Uważając ten rodzaj zabezpieczenia za nieskuteczny.
IV. Obejście
Jedyne możliwe obejście, jest możliwe poprzez wykorzystanie pliku /etc/hosts.allow do kontroli dostępu, w sposób jaki jest przedstawiony w przykadzie pliku.
Innym obejściem może być zastosowanie firewall'a (np. ipfw, ip, pf) aby zmniejszyć limit dostępu do funkcji RPC z niezaufanych systemów lub sieci. Stworzenie reguly, która by taką operację wykonywała, jest dość trudnym zadaniem - komplikacja występuje przy chęci zablokowania specyficznego zapytania z pominięciem blokady wszystkich zapytań.
V. Rozwiązanie
Wykonać jedno z poniższych:
1) Uaktualnić wadliwy system do 4-STABLE, 5-STABLE, 6-STABLE lub do RELENG_6_1, RELENG_6_0, RELENG_5_4, RELENG_5_3, RELENG_4_11, RELENG_4_10 z danej gałęzi bezpieczeństwa wydanej po dacie poprawki.
2) Aby załatać obecny system:
Poniższe poprawki zostały sprawdzone w działaniu z FreeBSD 4.10, 4.11, 5.3, 5.4, 6.0, 6.1.
a) Pobrać odpowiednią łatkę z lokalizacji podanych poniżej. Sprawdzić podpis PGP, narzędziem jakie posiadasz.
# fetch http://security.FreeBSD.org/patches/SA-06:15/ypserv.patch
# fetch http://security.FreeBSD.org/patches/SA-06:15/ypserv.patch.asc
b) Wykonać będąc zalogowanym jako root:
# cd /usr/src
# patch < /path/to/patch
# cd /usr/src/usr.sbin/ypserv
# make obj && make depend && make && make install
VI. Szczegóły poprawki
Poniższa lista zawiera numery poszczególnych wersji plików które zostały poprawione.
Gałąź
<span> </span>Ścieżka<span> </span>Przegląd
- -------------------------------------------------------------------------
<span>RELENG_5</span>
<span><span> </span>src/usr.sbin/ypserv/yp_access.c<span> </span>1.22.6.1</span>
<span>RELENG_5_5</span>
<span><span> </span>src/UPDATING<span> </span>1.342.2.35.2.1</span>
<span><span> </span>src/sys/conf/newvers.sh<span> </span>1.62.2.21.2.3</span>
<span><span> </span>src/usr.sbin/ypserv/yp_access.c<span> </span><span> </span>1.22.18.1</span>
<span>RELENG_5_4</span>
<span><span> </span>src/UPDATING<span> </span>1.342.2.24.2.24</span>
<span><span> </span>src/sys/conf/newvers.sh<span> </span>1.62.2.18.2.20</span>
<span><span> </span>src/usr.sbin/ypserv/yp_access.c<span> </span>1.22.10.1</span>
<span>RELENG_5_3</span>
<span><span> </span>src/UPDATING<span> </span>1.342.2.13.2.33</span>
<span><span> </span>src/sys/conf/newvers.sh<span> </span>1.62.2.15.2.35</span>
<span><span> </span>src/usr.sbin/ypserv/yp_access.c<span> </span>1.22.8.1</span>
<span>RELENG_6</span>
<span><span> </span>src/usr.sbin/ypserv/yp_access.c<span> </span>1.22.12.1</span>
<span>RELENG_6_1</span>
<span><span> </span>src/UPDATING<span> </span>1.416.2.22.2.3</span>
<span><span> </span>src/sys/conf/newvers.sh<span> </span>1.69.2.11.2.3</span>
<span><span> </span>src/usr.sbin/ypserv/yp_access.c<span> </span>1.22.16.1</span>
<span>RELENG_6_0</span>
<span><span> </span>src/UPDATING<span> </span>1.416.2.3.2.13</span>
<span><span> </span>src/sys/conf/newvers.sh<span> </span>1.69.2.8.2.9</span>
<span><span> </span>src/usr.sbin/ypserv/yp_access.c<span> </span><span> </span>1.22.14.1</span>
<span>- -------------------------------------------------------------------------</span>
VII. Odnośniki
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2655
Najnowsza wersja jest dostępna pod adresem:
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06 :15.ypserv.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (FreeBSD)
iD8DBQFEfhuUFdaIBMps37IRAhH5AJ9cpTLcR+aWSRPUa1zUDYThhKDqowCggYr1
4OyjFHW/C+NB9nMIX8Wf7IE=
=NNUN
-----END PGP SIGNATURE-----
|
Bezpieczeństwo 
