概要
リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。
説明
nfs-utils で tcp_wrappers が適切に使用されなかったことが判明しました。
「/etc/hosts.allow」および「/etc/hosts.deny」で定義された、特定のホストアクセスのルールが守られず、本来守られるべきアクセス制限をリモートの攻撃者がバイパスしていた可能性があります。(CVE-2008-4552)
この更新パッケージでは、次のバグも修正されます。
- 「/etc/sysconfig/nfs」の「LOCKD_TCPPORT」および「LOCKD_UDPPORT」オプションが順守されておらず、lockd デーモンは、引き続きランダムポートを使用していました。この更新で、これらのオプションは尊重されます。(BZ#434795)
- 読み取り専用ファイルシステムにマウントされた「/etc/」ディレクトリを持つシステムから、NFS ファイルシステムをマウントすることはできませんでした(これは、NFS でマウントされたルートファイルシステムを備えたシステムにて発生する可能性があります)。この更新で、読み取り専用のファイルシステムにマウントされた「/etc/」があるシステムから NFS ファイルシステムをマウントできる可能性があります。
(BZ#450646)
- 「/etc/sysconfig/nfs」の「STATDARG=」で指定された引数は、nfslock init スクリプトにより削除されました。つまり、指定された引数が、rpc.statd に渡されることは一切なくなりました。この更新により、nfslock init スクリプトはこれらの引数をこれ以上削除しなくなります。(BZ#459591)
- NFS サーバーの「/etc/exports」ファイルで指定されていないホストから、NFS ファイルシステムをマウントする場合、誤解を与える「不明なホスト」エラーがサーバーに記録されていました(ホスト名を検索しても失敗しませんでした)。この更新で、これらの状況で明確なエラーメッセージが表示されます。
(BZ#463578)
- nhfsstone ベンチマークユーティリティは、NFS バージョン 3 および 4 で動作しませんでした。この更新で、NFS バージョン 3 および 4 用の nhfsstone へのサポートが追加されます。新しい nhfsstone の「-2」、「-3」、および「-4」オプションは、NFS のバージョンを選択するために使用されます(nfsstat(8) と同様)。(BZ#465933)
- exportfs(8) のマニュアルページにおいて、EXAMPLES セクションに「djando」のスペルミスがありました。(BZ#474848)
- 一部の状況において、NFS サーバーは、NIS netgroup にホストエイリアスがあるホストへのマウントを間違って拒否していました。
(BZ#478952)
- 一部の状況において、NFS クライアントは、所定のエクスポートから最新バージョンのファイルまたはディレクトリを使用するよりも、自身のキャッシュを使用していました。この更新で、新しいマウントオプション「lookupcache=」が追加され、NFS クライアントがファイルおよびディレクトリをキャッシュする方法を制御できるようになります。注:「lookupcache=」オプションを使用するには、Scientific Linux 2.6.18-164 以降のカーネル更新をインストールする必要があります。
また、「lookupcache=」は現在 NFS バージョン 3 のみで使用できます。NFS バージョン 4 に対するサポートは、今後の Scientific Linux 5 の更新で導入される可能性があります。(BZ#489335)
この更新のインストール後に、 nfs サービスは自動的に再起動されます。
注:この更新はすでに SL 5.4 にあります
ソリューション
影響を受ける nfs-utils、nfs-utils-lib、および/または nfs-utils-lib-devel のパッケージを更新してください。
プラグインの詳細
ファイル名: sl_20090902_nfs_utils_on_SL5_x.nasl
エージェント: unix
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: x-cpe:/o:fermilab:scientific_linux
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu