Scientific Linux 安全更新:SL6.x i386/x86_64 中的 selinux-policy 增强更新
high Nessus 插件 ID 64959
语言:
简介
远程 Scientific Linux 主机缺少一个或多个安全更新。描述
此更新添加了以下增强:- 启用多级安全 (MLS) SELinux 策略时,以 SELinux MLS 级别创建的用户无法通过 |SSH| 客户端登录到系统。SELinux 策略规则已更新,允许用户登录到上述情况下的系统。
- 当 SELinux 处于强制执行模式时,Red Hat Enterprise Linux MRG 网格中的平行空间 |OpenMPI| 作业失败且不能访问 |/var/lib/condor/execute/| 目录中的文件。已为 |OpenMPI| 作业添加新的 SELinux 策略规则,允许作业访问此目录中的文件。
- 由于存在一个回归,当 MLS.中的 |ssh_sysadm_login| 变量设置为 |OFF| 时,根用户仍能够登录。为修复此缺陷,已修正 |ssh_sysadm_login| SELinux 布尔以阻止在此变量设置为 |OFF| 时根用户进行登录。
- 以前,当启用 SELinux MLS 策略时,|cron| 后台程序作业设置为在 |cronjob_t| 域中运行。因此,用户无法运行其 |cron| 作业。已修改相关策略规则,现在 |cron| 作业在用户域中运行,从而修复了此缺陷。
- 当 SELinux 处于强制执行模式时,在以 FIPS 模式自动测试 Red Hat Enterprise Linux 期间,PAM(可插拔认证模块)尝试在 |/sbin/unix_chkpwd| 文件中运行预链接以验证其哈希。
因此,用户无法登录系统。已更新相应的 SELinux 策略规则,已添加 FIPS 模式布尔以解决此缺陷。
- krb5 程序包升级为 1.9-33.el6_3.3 版本并使用身份管理或 FreeIPA 时,在强制执行模式下尝试启动 |named| 后台程序时意外终止。此更新调整了相关的 SELinux 策略,以确保 |named| 后台程序可在上述情况下启动。
- 以前,|libselinux| 库不支持根据 |/etc/selinux/targeted/logins/$username/| 目录的内容设置环境。
因此,SELinux 限制集中管理无法正确工作。通过此更新,现在可按预期由 selinux-policy 程序包处理 |/etc/selinux/targeted/logins/| 目录。
- 在其当前版本中,|SSSD| 后台程序将 SELinux 配置文件写入 |/etc/selinux/<policy>/logins/| 目录。然后 SELinux PAM 模块利用此信息为尝试登录的远程用户设置正确的环境。由于缺少此功能的策略,|SSSD| 无法写入此目录。通过此更新,将同时添加 |/etc/selinux/<[policy]/logins/| 的新安全环境以及相应的 SELinux 策略规则。
- 当 SELinux 处于强制执行模式时,如果在 |/etc/sysconfig/saslauthd| 文件中指定 |MECH=shadow| 选项,|saslauthd| 后台程序流程可能无法正常工作。此更新修复了相关的 SELinux 策略规则,允许 |saslauthd| 使用 |MECH=shadow| 配置选项。
- 当在 |/etc/procmailrc| 或 |dovecot| 配置文件中启用 |MAILDIR=$HOME/Maildir| 选项时,|procmail| 和 |dovecot| 服务无法访问位于主目录中的 Maildir 目录。此更新修复了相关的 SELinux 策略规则,允许 |procmail|/|dovecot| 服务读取 |/etc/procmailrc| 中配置的 |MAILDIR| 选项。
- 当停止 |vsftpd| 后台程序时,可通过向其发送 SIGTERM 信号终止所有 |vsftpd| 子进程。当父进程终止时,子进程会获得 SIGTERM 信号。以前,此信号被 SELinux 阻断。此更新修复了相关的 SELinux 策略规则,允许 |vsftpd| 正确终止其子进程。
- 由于缺少 SELinux 策略规则,在自动挂载的主 NFS 目录中工作的 |rsync| 后台程序无法读取此目录中的文件。为修复此缺陷,|rsync| 后台程序已更改为主管理器以允许所需的访问权限。
- 以前,SELinux 会阻止 puppet 主控端运行 passenger web 应用程序。为修复此缺陷,Passenger Apache 模块的安全环境已更新,以反映可执行文件的最新 passenger 路径,从而确保使用 Passenger Web 应用程序的所有应用程序在正确的 SELinux 域中运行。
- 当用户尝试配置 |rsync| 后台程序以直接登录到特定文件时,由于缺少 SELinux 策略规则而使用户创建日志文件,但不允许 |rsync| 附加到日志文件中。通过此更新,已添加 SELinux 策略规则,允许 |rsync| 附加到特定日志文件。
- 当向系统添加多种设备时,udev 规则会重新启动每个新设备的 ktune 服务,因此短时间内会有多次重新启动。
多次重新启动会在内核中触发争用条件,该问题不太容易修复。目前,已修改调整代码,不会在 10 秒内触发两次重新启动,从而避免了争用条件。
此更新已置于安全树内,以避免 selinux 缺陷。
解决方案
更新受影响的数据包。另见
插件详情
严重性: High
ID: 64959
文件名: sl_20130221_selinux_policy_enhancement_update_on_SL6_x.nasl
版本: 1.6
类型: local
代理: unix
发布时间: 2013/3/1
最近更新时间: 2021/1/14
支持的传感器: Nessus Agent, Nessus
漏洞信息
CPE: p-cpe:/a:fermilab:scientific_linux:selinux-policy, p-cpe:/a:fermilab:scientific_linux:selinux-policy-doc, p-cpe:/a:fermilab:scientific_linux:selinux-policy-minimum, p-cpe:/a:fermilab:scientific_linux:selinux-policy-mls, p-cpe:/a:fermilab:scientific_linux:selinux-policy-targeted, x-cpe:/o:fermilab:scientific_linux
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
补丁发布日期: 2013/2/21
漏洞发布日期: 2013/2/21