RHEL 5：vixie-cron (RHSA-2012:0304)

high Nessus 插件 ID 58058

语言：

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 vixie-cron 程序包修复了一个安全问题和多个缺陷并添加了一项增强，现在可用于 Red Hat Enterprise Linux 5。

Red Hat 安全响应团队将此更新评级为具有低危安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

vixie-cron 程序包包含 cron 的 Vixie 版本。Cron 是一个标准 UNIX 后台程序，在计划的时间运行指定的程序。
vixie-cron 程序包为 cron 的标准版本添加了更高的安全性和更强大的配置选项。

在 crontab 程序对在编辑用户 crontab 文件时所创建的临时文件执行文件时间戳更新的方式中发现争用条件。本地攻击者可利用此缺陷，通过符号链接攻击来更改任意系统文件的修改时间。(CVE-2010-0424)

Red Hat 在此感谢 Dan Rosenberg 报告此问题。

此更新还修复以下缺陷：

* 在轻型目录访问协议 (LDAP) 服务器或网络文件系统 (NFS) 上挂载主目录的用户的 Cron 作业经常会被拒绝，因为作业被标记为孤立（通常是因为在不可访问 NIS 和 LDAP 服务器时发生临时 NSS 查找失败）。通过此更新，将创建孤立的数据库，并以预期方式执行 cron 作业。(BZ#455664)

* 以前，如果位于 /etc/cron.d/ 目录中的 cron 作业文件包含无效条目，cron 不会记录任何错误。已应用上游修补程序以解决此问题，cron 作业文件中的无效条目现在会产生警告消息。(BZ#460070)

* 以前，“@reboot”crontab 宏会在重新启动 crond 后台程序时错误地运行作业。如果用户在多台计算机上使用该宏，每次重新启动 crond 后台程序时都会执行所有包含“@reboot”选项的条目。通过此更新，仅当重新启动计算机时才会执行作业。(BZ#476972)

* crontab 实用工具现已被编译为与位置无关的可执行文件 (PIE)，这增强了系统的安全性。
(BZ#480930)

* 停止父 crond 后台程序但子 crond 后台程序正在运行（执行程序）时，“service crond status”命令会错误地报告称 crond 正在运行。已修改源代码，“service crond status”命令现在会正确地报告称 crond 已停止。(BZ#529632)

* 根据 pam(8) 手册页，cron 后台程序 crond 通过 PAM（可插拔认证模块）来支持访问控制。
但是，crond 的 PAM 配置文件未正确导出环境变量，因此无法通过 cron 来设置 PAM 变量。此更新包含已修正的 /etc/pam.d/crond 文件，其可正确导出环境变量。
通过 cron 设置 pam 变量现在会按 pam(8) 手册页中记录的方式进行。(BZ#541189)

* 以前，mcstransd 后台程序会修改 crond 后台程序的标签。当 crond 后台程序尝试使用修改后的标签而 mcstransd 未运行时，crond 会使用不正确的标签。
因此，安全增强型 Linux (SELinux) 拒绝的记录会填满 cron 日志，不会执行任何作业，并且必须重新启动 crond。通过此更新，mcstransd 和 crond 都使用原始 SELinux 标签，从而防止发生该问题。(BZ#625016)

* 以前，crontab(1) 和 cron(8) 手册页包含多处印刷错误。此更新修复了这些错误。
（BZ#699620、BZ#699621）

此外，此更新还添加了以下增强：

* 以前，crontab 实用工具不会将可插拔认证模块 (PAM) 用于用户验证。因此，即使访问受限（通常通过 access.conf 文件拒绝），用户也可访问 crontab。通过此更新，crontab 会返回错误消息，表示用户因 PAM 配置而无法访问 crontab。(BZ#249512)

所有 vixie-cron 用户都应升级此更新后的程序包，其中解决了这些问题并添加此增强。