Scientific Linux 安全性更新:SL6.x i386/x86_64 上的 selinux-policy 更新更新
high Nessus Plugin ID 64959
語系:
概要
遠端 Scientific Linux 主機缺少一個或多個安全性更新。說明
此更新新增了下列增強功能:- 啟用多層級安全性 (MLS) SELinux 原則後,以 SELinux MLS 層級建立的使用者無法透過 |SSH| 用戶端登入系統。SELinux 原則規則已更新,允許使用者在上述狀況中登入系統。
- 當 SELinux 位於強制模式時,|OpenMPI| 作業 (Red Hat Enterprise Linux MRG Grid 中的平行 universe) 失敗,且無法存取 |/var/lib/condor/execute/| 目錄中的檔案。已針對 |OpenMPI| 作業新增 SELinux 原則規則,允許作業存取此目錄中的檔案。
- 由於迴歸因素,當 |ssh_sysadm_login| 變數在 MLS 中設為 |OFF| 時,root 使用者可以登入。為修正此錯誤,|ssh_sysadm_login| SELinux 布林值已更新,可避免 root 使用者在此變數設為 |OFF| 時登入。
- 之前,當 SELinux MLS 原則啟用時,|cron| 程序作業會設為在 |cronjob_t| 網域中執行。因此,使用者無法執行其 |cron| 作業。相關原則規則已修改,|cron| 作業現會在使用者網域中執行,進而修正此錯誤。
- 若 SELinux 位於強制模式,當在 FIPS 模式中進行 Red Hat Enterprise Linux 的自動測試時,PAM (插入式驗證模組) 會嘗試在 |/sbin/unix_chkpwd| 檔案上執行 prelink 來驗證其雜湊。
因此,使用者無法登入系統。適當的 SELinux 原則規則已更新,且已新增 FIPS 模式布林值來解決此錯誤。
- 當 krb5 套件升級至 1.9-33.el6_3.3 版且使用身分管理或 FreeIPA 時,啟動 |named| 程序的嘗試會在強制模式中意外終止。此更新可調整相關 SELinux 原則,以確保 |named| 程序可在上述狀況中啟動。
- 之前,|libselinux| 程式庫並未支援在 |/etc/selinux/targeted/logins/$username/| 目錄內容的基礎上設定內容。
因此,SELinux 限制的中央管理並未正確運作。透過此更新,|/etc/selinux/targeted/logins/| 目錄現可由 selinux-policy 套件正常處理。
- 在目前的版本中,|SSSD| 程序會將 SELinux 組態檔寫入 |/etc/selinux/<policy>/logins/| 目錄。SELinux PAM 模組接著會使用這些資訊為嘗試登入的遠端使用者設定正確的內容。由於缺少針對此功能的原則,|SSSD| 無法寫入至此目錄。透過此更新,|/etc/selinux/<[policy]/logins/| 的新安全性內容已和適當的 SELinux 原則規則一起新增。
- 在 SELinux 位於強制模式時,如果 |/etc/sysconfig/saslauthd| 檔案中指定 |MECH=shadow| 選項,|saslauthd| 程序處理程序將無法正確運作。此更新已修正相關的 SELinux 原則規則,允許 |saslauthd| 使用 |MECH=shadow| 組態選項。
- 當 |/etc/procmailrc| 或 |dovecot| 組態檔中啟用 |MAILDIR=$HOME/Maildir| 選項時,|procmail| 和 |dovecot| 服務會無法存取位於主目錄中的 Maildir 目錄。此更新已修正相關的 SELinux 原則規則,允許 |procmail|/|dovecot| 服務讀取 |/etc/procmailrc| 中已設定的 |MAILDIR| 選項。
- |vsftpd| 程序停止時會傳送 SIGTERM 訊號至所有子 |vsftpd| 處理程序來加以終止。父處理程序停止回應時,子處理程序會收到 SIGTERM 訊號。此訊號之前會由 SELinux 封鎖。此更新已修正相關的 SELinux 原則規則,來允許 |vsftpd| 正確終止其子處理程序。
- 由於缺少 SELinux 原則規則,處理自動化主 NFS 目錄的 |rsync| 程序無法在此目錄中寫入檔案。為修正此錯誤,|rsync| 程序已改為主管理員,以允許所需的存取權限。
- SELinux 之前會禁止 puppet 主機執行 passenger Web 應用程式。為修正此錯誤,Passenger Apache 模組的安全性內容已更新,可反映可執行檔的最新 passenger 路徑,確保所有使用 Passenger Web 應用程式的應用程式是以正確的 SELinux 網域執行。
- 當使用者嘗試將 |rsync| 程序設為直接記錄至特定檔案,則因缺少 SELinux 原則規則而讓使用者建立記錄檔後卻無法附加。透過此更新,已新增 SELinux 原則規則,允許 |rsync| 附加至特定記錄檔。
- 當多個裝置新增至系統時,udev 規則會重新啟動每個新裝置的 ktune 服務,所以在短時間內會重新啟動數次。
多個重新啟動會在彈性不足的核心中觸發爭用情形。目前已修改 tuned 程式碼,預防在 10 秒內觸發一次以上的重新啟動,進而避免爭用情形。
已將此更新置入安全性樹狀結構,以避免發生 selinux 錯誤。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 64959
檔案名稱: sl_20130221_selinux_policy_enhancement_update_on_SL6_x.nasl
版本: 1.6
類型: local
代理程式: unix
已發布: 2013/3/1
已更新: 2021/1/14
支援的感應器: Nessus Agent, Nessus
弱點資訊
CPE: p-cpe:/a:fermilab:scientific_linux:selinux-policy, p-cpe:/a:fermilab:scientific_linux:selinux-policy-doc, p-cpe:/a:fermilab:scientific_linux:selinux-policy-minimum, p-cpe:/a:fermilab:scientific_linux:selinux-policy-mls, p-cpe:/a:fermilab:scientific_linux:selinux-policy-targeted, x-cpe:/o:fermilab:scientific_linux
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
修補程式發佈日期: 2013/2/21
弱點發布日期: 2013/2/21