RHEL 5 : vixie-cron (RHSA-2012:0304)

high Nessus Plugin ID 58058

語系：

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 5 的更新版 vixie-cron 套件，可修正一個安全性問題、數個錯誤，並新增一個增強功能。

Red Hat 安全性回應團隊已將此更新評等為具有低安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

vixie-cron 套件包含有 Vixie 版本的 cron。Cron 是一個標準的 UNIX 程序，其會按排程時間執行指定的程式。
此 vixie-cron 套件在標準的 cron 版本中新增了改良版的安全性，以及更多功能強大的組態選項。

crontab 程式在編輯使用者 crontab 檔案時所產生之暫時檔上執行檔案時間戳記更新的方法中，發現一個爭用情形。本機攻擊者可利用此瑕疵，透過符號連結攻擊來變更任意系統檔案的修改時間。(CVE-2010-0424)

Red Hat 要感謝 Dan Rosenberg 報告這個問題。

此更新也可修正下列錯誤：

* 對於掛載於輕量型目錄存取通訊協定 (LDAP) 伺服器或網路檔案系統 (NFS) 的主目錄使用者，其 Cron 工作常因標記為「孤立」而遭到拒絕 (標記原因通常是因無法使用 NIS 及 LDAP 伺服器而產生暫時性的 NSS 查閱失敗所致)。透過此更新，將會建立孤立的資料庫，且 cron 工作會依預期般正常執行。(BZ#455664)

* 在之前的版本中，當位於 /etc/cron.d/ 目錄中的 cron 工作檔包含無效項目時，cron 未記錄任何錯誤。這個問題已經套用上游修補程式獲得解決，且 cron 工作檔案現在會於無效項目存在時發出警告訊息。(BZ#460070)

* 在之前的版本中，「@reboot」crontab 巨集在 crond 程序重新啟動時無法正確地執行工作。如果使用者在多部電腦上使用此巨集，則每當重新啟動 crond 程序，與「@reboot」選項有關的所有項目都會執行。透過此更新，只有在電腦重新開機時，這些工作才會執行。(BZ#476972)

* 此 crontab 公用程式現在編譯成位置獨立的可執行檔案 (PIE)，這就增強了系統的安全性。
(BZ#480930)

* 當發生父 crond 程序停止，但子 crond 程序仍在執行 (執行程式) 時，「service crond status」命令會不正確地報告該 crond 仍在執行中。原始程式碼已經過修改，「service crond status」命令現在會正確報告 crond 已停止的情況。(BZ#529632)

* 根據 pam(8) 手冊頁面，cron 程序 crond 支援透過插入式驗證模組 (PAM) 的存取控制權。
然而，crond 的 PAM 組態檔並未正確匯出環境變數，結果導致無法透過 cron 設定 PAM 變數。這個更新包含了可正確匯出環境變數的修正版 /etc/pam.d/crond 檔案。
現在 pam 變數就能依照 pam(8) 手冊頁面記載方式，正常透過 cron 完成設定。(BZ#541189)

- 在之前的版本中，mcstransd 程序會修改 crond 程序的標籤。當此 crond 程序嘗試使用修改過的標籤，而 mcstransd 未執行時，表示 crond 使用的標籤不正確。
結果導致 cron 記錄中裝滿了Security-Enhanced Linux (SELinux) 拒絕，卻沒有任何工作執行，於是 crond 必須重新啟動。透過此更新，mcstransd 和 crond 都會使用原始 SELinux 標籤，進而防止這個問題的發生。(BZ#625016)

* 在之前的版本中，crontab(1) 和 cron(8) 手冊頁面包含了多個拼字錯誤。這項更新可修正這些錯誤。
(BZ#699620、BZ#699621)

此外，此更新還新增了下列增強功能：

* 在之前的版本中，crontab 公用程式未使用插入式驗證模組 (PAM) 來進行使用者驗證。因此，即使在權限受到限制的情況下 (通常是指存取 conf 檔案遭拒)，使用者仍然可存取 crontab。透過此更新，crontab 可傳回 PAM 組態致使使用者不得存取 crontab 的錯誤訊息。(BZ#249512)

所有 vixie-cron 使用者皆應升級至此更新版套件，該套件可解決這些問題並加入這個增強功能。