Fedora 23 : xfsprogs-3.2.4-1.fc23 (2015-12380)

medium Nessus Plugin ID 85548

語系：

概要

遠端 Fedora 主機遺漏安全性更新。

說明

Gabriel Vlasiu 報告，XFS 檔案系統的 xfsprogs 工具套件中，xfs_metadump 並未正確模糊化資料。
xfs_metadump 會正確模糊化作用中的詮釋資料，但是該 fs 區塊中的空間仍相當清晰。這可能會導致透過產生的 metadump 映像來洩漏過時的磁碟資料。

對 xfs_metadump 的預期是模糊化詮釋資料中最短名稱以外的所有項目，如手冊頁中所說明：

依照預設，xfs_metadump 會模糊化多數檔案 (一般檔案、目錄和符號連結) 名稱並延伸屬性名稱，藉此允許在不洩漏機密資訊的狀態下傳送轉儲存。延伸的屬性值會歸零，且不會複製任何資料。唯一的例外狀況發生在長度為 4 或以下字元的檔案或屬性名稱。
還有跨範圍的檔案名稱 (僅 -n 大小 > -b 大小的 mkfs.xfs(8) 選項可能會發生) 也不會模糊化。長度介於 5 至 8 字元的名稱 (含) 則會部分模糊化。

無權限的使用者可執行 xfs_metadump 工具，因此需要適當的權限才能存取可能轉儲存敏感資料的區塊裝置 (例如 root)。無權限的使用者若沒有區塊裝置的存取權，就不能利用此瑕疵來取得其本來不具有存取權的敏感資料。

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。