Linux勧告ウォッチ - 2005年12月16日(金)

Benjamin-D.-Thomas(2005年12月16日(金)
シェア
今週は、courier、osh、curl、ethereal、phpMyAdmin、Openswan、Xmail、Ethereal、perl、openvpn、thunderbird、xmovie、mplayer、ffmpegに関する勧告が公開された。配布元には、Debian、Gentoo、Mandrivaが含まれる。

SELinuxポリシー開発:ポリシーの変更
著者:Pax Dickinson

allowステートメントが揃ったら、それらをよく調べて何を許可することになるか把握してからポリシーに追加する。audit2allowにはポリシーに含まれているマクロを認識しないという欠点があるので、ポリシーのソースをgrepして、追加するallowステートメントに近いものを探し、代わりに使用できそうな適切なマクロを見つける必要がある。ポリシーを大幅にカスタマイズしようとしている場合は、既存のポリシーソースをよく知ることで使用可能なマクロを把握しておくことをお勧めする。

まずは$policy/policy/support/obj_perm_sets.sptから始めるとよいだろう。ここには、アクセス許可のグループ化に便利なマクロが含まれている。たとえば、あるドメインについて特定の型に対するioctl、read、getattr、lock、write、appendのアクセス許可を与える代わりに、そのドメインにrw_file_permsマクロを割り当てることができる。これを利用することで、後で見たときにわかりやすいポリシーになる。

必要なallowステートメントが決まったら、$policy/policy/modules/admin/local.teファイルにそれらを追加し、ポリシーを再コンパイルする。それでもアプリケーションがenforcingモードで動作しない場合は、SELinux監査エラーが出なくなるまでこの手順を繰り返す。

ポリシーの変更は、必ず$policy/policy/modules/admin/local.*ファイルに保存する。

これらのファイルは空の状態でパッケージに含まれており、ローカルポリシーのカスタマイズ用に用意されている。サービスに属していて既にルールが含まれているファイルを変更すると、ポリシーをアップグレードしたときにその変更は失われてしまうので、ローカルの変更は、対象となるlocal.teファイルとlocal.fcファイルに保存する必要がある。

既存のポリシーに問題があれば、local.*に変更を加えればよいが、ポリシーの管理者には、後でその変更をビルドに反映してもらえるようパッチを提供しておくとよい。ほとんどのSELinuxポリシーはまだ新しい技術であるため、開発と改訂が絶えず行われており、これに協力することは、アップストリームのポリシー管理者にとってはありがたいものになる。

ポリシー開発は初めは難しく感じるかもしれないが、進めて行くにつれ、SELinuxのみならず、アプリケーションが実際にどんなことを行っているかがよくわかるようになるだろう。システムをより安全なものにするばかりでなく、低レベルにおけるシステムとサービスの詳細を学べるはずだ。SELinux開発のおかげで、これまでに多くのアプリケーションの隠れたバグに対するアップストリームのパッチが作られてきた。こうしたバグを発見できたのは、アプリケーションのカーネルレベルの動作をポリシー開発者がSELinuxで検出できたからだ。

このSELinuxシリーズを執筆できたことをうれしく思う。読者のお役にたてば幸いだ。では、また今度お目にかかるまで。どうか、これからもセキュリティに十分配慮し、ポリシーをしっかり管理してほしい。

記事全文:
http://www.linuxsecurity.com/content/view/120837/49/

Debian
Debian:courierパッケージの不正なアクセスの修正
2005年12月8日

パッケージが更新された。
Debian:oshパッケージの権限昇格の修正
2005年12月9日

パッケージが更新された。
Debian:curlパッケージのセキュリティ問題の修正
2005年12月12日

パッケージが更新された。
Debian:etherealパッケージの任意のコード実行に対する修正
2005年12月13日

パッケージが更新された。
Debian:Linux 2.4.27パッケージの複数の弱点の修正
2005年12月14日

パッケージが更新された。
Debian:Linux 2.6.8パッケージの複数の弱点の修正
2005年12月14日

パッケージが更新された。
Gentoo
Gentoo:phpMyAdminの複数の弱点
2005年12月11日

phpMyAdminに、いくつかのXSS問題およびローカルとリモートのファイル混入につながる複数のエラーがある。
Gentoo:OpenswanとIPsec-ToolsのISAKMPの弱点
2005年12月12日

OpenswanとIPsec-Toolsに、Denial of Service攻撃を可能にする実装エラーがある。
Gentoo:Xmailのsendmailによる権限昇格
2005年12月14日

Xmailのsendmailプログラムにバッファ・オーバーフローの弱点があり、ローカルの権限昇格につながる可能性がある。
Gentoo:EtherealのOSPFプロトコルディセクタのバッファ・オーバーフロー
2005年12月14日

EtherealのOSPFプロトコルディセクタに境界チェックの不備があり、プログラムの異常終了または任意のコードの実行につながる可能性がある。
Mandriva
Mandriva:curlパッケージのフォーマット文字列の弱点の修正
2005年12月8日

パッケージが更新された。
Mandriva:perlパッケージのフォーマット文字列の弱点の修正
2005年12月8日

Jack Louisは、Perlプログラミング言語でフォーマット文字列エラー悪用の新しい方法を発見した。これによって、任意のコードが実行される可能性がある。
Mandriva:openvpnパッケージの複数の弱点の修正
2005年12月10日

OpenVPNにDenial of Serviceの弱点が2つある。1つ目では、悪意のある、または侵入されたサーバが、クライアントで任意のコードを実行できる(CVE-2005-3393)。2つ目のDoSは、TCPサーバモードのときにOpenVPNがaccept(2)でエラーを受け取り、その例外ハンドラでsegfaultが起こると、発生する(CVE-2005-3409)。最新パッケージでは、これらの問題が修正されている。
Mandriva:mozilla-thunderbirdパッケージのenigmailの弱点の修正
2005年12月13日

enigmailに、誤った公開鍵での電子メール暗号化につながるバグが発見された。enigmailは、Mozilla MailNewsとMozilla ThunderbirdのGPGサポート拡張機能。このバグによって、予期しない受信者に機密データが漏れる可能性がある。最新パッケージでは、この問題が修正されている。
Mandriva:etherealパッケージの弱点の修正
2005年12月14日

EtherealのOSPFディセクタでスタックベースのバッファ・オーバーフローが発見された。リモートの攻撃者がこれを悪用して、悪質な細工をしたパケットを使って任意のコードを実行する可能性がある。最新パッケージでは、この問題が修正されている。
Mandriva:xine-libパッケージのバッファ・オーバーフローの弱点の修正
2005年12月14日

Simon Kilvingtonは、FFmpeg libavcodecの弱点を発見した。攻撃者がこの弱点を悪用してDoS(Denial of Service)を発生させ、ユーザのシステムに侵入する可能性がある。
Mandriva:xmovieパッケージのバッファ・オーバーフローの弱点の修正
2005年12月14日

パッケージが更新された。
Mandriva:gstreamer-ffmpegパッケージのバッファ・オーバーフローの弱点の修正
2005年12月14日

Simon Kilvingtonは、FFmpeg libavcodecの弱点を発見した。攻撃者がこの弱点を悪用してDoS(Denial of Service)を発生させ、ユーザのシステムに侵入する可能性がある。
Mandriva:mplayerパッケージのバッファ・オーバーフローの弱点の修正
2005年12月14日

Simon Kilvingtonは、FFmpeg libavcodecの弱点を発見した。攻撃者がこの弱点を悪用してDoS(Denial of Service)を発生させ、ユーザのシステムに侵入する可能性がある。
Mandriva:ffmpegパッケージのバッファ・オーバーフローの弱点の修正
2005年12月14日

Simon Kilvingtonは、FFmpeg libavcodecの弱点を発見した。攻撃者がこの弱点を悪用してDoS(Denial of Service)を発生させ、ユーザのシステムに侵入する可能性がある。

原文