[jmm@debian.org: [SECURITY] [DSA 4589-1] debian-edu-config security update]
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
Hallo Debian-Edu-Administratoren,
am Sonntagabend wurde eine schwerwiegende Sicherheitslücke in Debian Edu
bekannt, durch die Benutzer im Netzwerk die Passwörter anderer Benutzer
ändern konnten.
Dieses Problem hatte keine Auswirkungen auf die "normalen" Werkzeuge,
mit denen im Debian-Edu-Netz normalerweise gearbeitet wird (z.B. GOSa).
Nutzer, denen das Kerberos-Backend bekannt war, konnten jedoch das Tool
kadmin benutzen, um fremde Passwörter zu ändern.
Das Problem wurde in den vergangenen Tagen in allen aktuell
unterstützten Versionen von Debian Edu behoben:
- Debian Edu 8 (jessie, LTS)
- Debian Edu 9 (stretch, alte stabile Version)
- Debian Edu 10 (aktuell stabile Version)
(…und natürlich in der aktuellen Entwicklungsversion 11 (bullseye))
Unten findet sich das Original-Advisory des Debian-Projekts mit Links zu
Anleitungen, wie das Update installiert werden kann (kurz: apt update &&
apt upgrade auf dem Hauptserver).
Der fehlerhafte Code war sehr alt; mittlerweile nutzt Debian Edu einen
besseren Prozess für Änderungen und Reviews. Wir werden dennoch weitere
Maßnahmen besprechen, um deartige Fehler in Zukunft zu vermeiden.
Viele Grüße,
Nik
- ----- Forwarded message from Moritz Muehlenhoff <jmm@debian.org> -----
Date: Wed, 18 Dec 2019 22:41:36 +0000
From: Moritz Muehlenhoff <jmm@debian.org>
To: debian-security-announce@lists.debian.org
User-Agent: NeoMutt/20170113 (1.7.2)
Subject: [SECURITY] [DSA 4589-1] debian-edu-config security update
- -------------------------------------------------------------------------
Debian Security Advisory DSA-4589-1 security@debian.org
https://www.debian.org/security/ Moritz Muehlenhoff
December 18, 2019 https://www.debian.org/security/faq
- -------------------------------------------------------------------------
Package : debian-edu-config
CVE ID : CVE-2019-3467
Debian Bug : 946797
It was discovered that debian-edu-config, a set of configuration files
used for the Debian Edu blend, configured too permissive ACLs for the
Kerberos admin server, which allowed password changes for other user
principals.
For the oldstable distribution (stretch), this problem has been fixed
in version 1.929+deb9u4.
For the stable distribution (buster), this problem has been fixed in
version 2.10.65+deb10u3.
We recommend that you upgrade your debian-edu-config packages.
For the detailed security status of debian-edu-config please refer to
its security tracker page at:
https://security-tracker.debian.org/tracker/debian-edu-config
Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: https://www.debian.org/security/
Mailing list: debian-security-announce@lists.debian.org
- ----- End forwarded message -----
- --
Dominik George (1. Vorstandsvorsitzender, pädagogischer Leiter)
Teckids e.V. — Digitale Freiheit mit Jugend und Bildung
https://www.teckids.org/
-----BEGIN PGP SIGNATURE-----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=bRrV
-----END PGP SIGNATURE-----
Reply to: