[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Neue DSA-Uebersetzungen

Hallo,

hab hier dsa-1617.

Bei dem Ausdruck "DNS cache poisoning attacks" (Zeile 6) war ich mir
nicht sicher, ob es dafür was adäquates im Deutschen gibt, darum habe
ich es einfach mal in Anführungszeichen gesetzt....

Volker Nehring schrieb:
> Hallo,
> 
> das ist der Versuch, alle neuen Übersetzungen der DSA in einem Thread zu 
> bündeln. Im Anhang die Nummer 1661.
> 
> Viele Grüße,
> Volker
> 
Viele Grüße,
Gerrit

<define-tag description>Inkompatible Richtlinie</define-tag>
<define-tag moreinfo>
<p>
In DSA-1603-1 hat Debian eine Aktualisierung für den BIND 9 Domain Name Server
herausgegeben, welche einen zufälligen UDP-Quellport einführte, um die
Gefahr von <q>DNS cache poisoning</q>-Angriffen 
(vom <q>Common Vulnerabilities and Exposures</q>-Projekt als
<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447";>CVE-2008-1447</a>
identifiziert) abzuschwächen.
Die Ausbesserung - obwohl korrekt - war nicht kompatibel mit der Version
der SELinux Referenz-Richtlinie, die mit Debian Etch ausgeliefert wurde und die
es einem laufenden Prozess in der named_t-Domäne nicht erlaubte, Sockets
an UDP-Ports zu binden, die nicht dem Standard 'Domain' Port (53) entsprachen.
Diese Inkompatibilität betrifft sowohl die Richtlinien-Pakete für 'targeted',
als auch für 'strict', welche mit dieser Version von refpolicy geliefert
werden.
</p>

<p>
Diese Aktualisierung der refpolicy-Pakete erlaubt es named_t-Prozessen
an einen beliebigen UDP-Port zu binden.
Sobald installiert, wird das aktualisierte Paket versuchen, das Modul für
die Bind-Richtlinie zu aktualisieren, wenn es zuvor geladen und die
vorhergehende Version von refpolicy 0.0.20061018-5 oder kleiner war.
</p>

<p>
Da die Debian refpolicy-Pakete bisher nicht dafür ausgelegt sind, die
Richtlinien-Module zu aktualisieren und weil Debian Systeme, auf denen
SELinux aktiviert ist, oft bis zu einem gewissen Grad Site-spezifische
Anpassungen der Richtlinien aufweisen, ist es schwierig zu garantieren,
dass die neue Bind-Richtlinie erfolgreich aktualisiert werden kann.
Deshalb bricht die Paket-Aktualisierung nicht ab, wenn die Aktualisierung
der Bind-Richtlinie fehlschlägt.
Das neue Richtlinien-Modul befindet sich nach der Installation hier:
/usr/share/selinux/refpolicy-targeted/bind.pp.
Administratoren, die die neue Bind-Dienst-Richtlinie verwenden möchten,
können Inkompatibilitäten der Richtlinien abgleichen und die Aktualisierung
anschließend manuell vornehmen.
Eine detailliertere Diskussion zu den Korrekturmaßnahmen kann man unter
<a href="http://wiki.debian.org/SELinux/Issues/BindPortRandomization";>http://wiki.debian.org/SELinux/Issues/BindPortRandomization</a>
finden.
</p>

<p>
Für die Stable-Distribution (Etch) wurde dieses Problem in Version
0.0.20061018-5.1+etch1 behoben.
</p>

<p>
Die Unstable-Distribution (Sid) ist nicht betroffen, da folgende
refpolicy-Versionen eine analoge Änderung erfuhren.
</p>

<p>
Wir empfehlen Ihnen, Ihre refpolicy-Pakete zu aktualisieren.
</p>

</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1617.data"
# $Id: dsa-1617.wml,v 1.1 2008-07-25 21:40:24 spaillar Exp $
#use wml::debian::translation-check translation="1.1"
Reply to: