Scientific Linux セキュリティ更新:SL6.x i386/x86_64 の selinux-policy 強化更新
high Nessus プラグイン ID 64959
Language:
概要
リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。説明
この更新は、次の強化を追加します。- Multi-Level Security(MLS)SELinux ポリシーが有効化されている場合、SELinux MLS レベルで作成されるユーザーは、|SSH| クライアントを通じてシステムにログインできない可能性があります。SELinux ポリシールールが更新され、ユーザーが上記のシナリオでシステムにログインできるようになりました。
- SELinux が enforcing モードの場合、Red Hat Enterprise Linux MRG Grid でパラレルユニバースである |OpenMPI| ジョブが失敗し、|/var/lib/condor/execute/| ディレクトリのファイルにアクセスできませんでした。新しい SELinux ポリシールールが |OpenMPI| ジョブに追加され、このディレクトリのファイルにジョブがアクセスできるようになりました。
- 回帰のため、|ssh_sysadm_login| 変数が MLS で |OFF| に設定された場合、root ユーザーはログインできました。このバグを修正するために、この変数が |OFF| に設定されたときに root ユーザーがログインできなくなるように、|ssh_sysadm_login| SELinux ブーリアンが修正されました。
- 以前は、SELinux MLS ポリシーが有効なときに、|cron| デーモンジョブが |cronjob_t| ドメインで実行されるように設定されていました。結果として、ユーザーは |cron| ジョブを実行できませんでした。関連するポリシールールが修正され、|cron| ジョブがユーザードメインで実行されるようになり、このバグは修正されました。
- enforcing モードの SELinux で、FIPS モードの Red Hat Enterprise Linux の自動テスト中に、PAM(Pluggable Authentication Modules)が |/sbin/unix_chkpwd| ファイルの prelink を実行し、ハッシュを検証しようとしました。
結果として、ユーザーはシステムにログインできませんでした。適切な SELinux ポリシールールが更新され、FIPS モードブーリアンが追加され、このバグが解決されました。
- krb5 パッケージがバージョン 1.9-33.el6_3.3 にアップグレードされ、Identity Management または FreeIPA が使用されているときに、|named| デーモンを起動しようとする試行が enforcing モードで予期せずに終了していました。この更新は、関連する SELinux ポリシーを適合し、|named| デーモンを上記のシナリオで確実に起動できるようにします。
- 以前は、|libselinux| ライブラリが、|/etc/selinux/targeted/logins/$username/| ディレクトリのコンテンツに基づいたコンテキストを設定することをサポートしていませんでした。
結果として、SELinux の制限の一元管理が適切に機能しませんでした。この更新により、|/etc/selinux/targeted/logins/| ディレクトリが selinux-policy パッケージにより想定通りに処理されるようになりました。
- 現行のバージョンで、|SSSD| デーモンは SELinux 構成ファイルを |/etc/selinux/<policy>/logins/| ディレクトリに書き込みます。SELinux PAM モジュールがこの情報を使用して、ログインしようとしているリモートユーザーに対して適切なコンテキストを設定します。この機能にポリシーがないため、|SSSD| はこのディレクトリに書き込みを行えませんでした。この更新により、|/etc/selinux/<[policy]/logins/| の新しいセキュリティコンテキストが、適切な SELinux ポリシールールとともに追加されました。
- enforcing モードの SELinux で、|saslauthd| デーモンプロセスは、|MECH=shadow| オプションが |/etc/sysconfig/saslauthd| ファイルで指定されている場合には適切に機能できませんでした。この更新は、関連する SELinux ポリシールールを修正し、|saslauthd| が |MECH=shadow| 構成オプションを使用できるようにします。
- |MAILDIR=$HOME/Maildir| オプションが |/etc/procmailrc| または |dovecot| のいずれかの構成ファイルで有効にされると、|procmail| と |dovecot| のサービスは、ホームディレクトリに配置されている Maildir ディレクトリにアクセスできませんでした。この更新は、関連する SELinux のポリシールールを修正し、|procmail|/|dovecot| サービスが |/etc/procmailrc| で構成された |MAILDIR| オプションを読み込めるようにします。
- |vsftpd| デーモンが停止されると、このデーモンは、すべての |vsftpd| 子プロセスを、SIGTERM 信号をそれらに送信することにより終了します。親プロセスが死ぬと、子プロセスは SIGTERM 信号を受け取ります。以前は、この信号は SELinux によりブロックされていました。この更新は、関連する SELinux ポリシールールを修正し、|vsftpd| が子プロセスを適切に終了できるようにします。
- SELinux ポリシールールがないため、自動マウントホーム NFS ディレクトリを提供する |rsync| デーモンが、このディレクトリにファイルを書き込みできませんでした。このバグを修正するために、|rsync| デーモンがホームマネージャーに変更され、必要なアクセス権限が許可されました。
- 以前は、Puppet マスターが Passenger Web アプリケーションを実行するのを、SELinux が阻止していました。このバグを修正するために、Passenger Apache モジュールのセキュリティコンテキストが更新され、最新の passenger パスを実行可能ファイルに反映し、Passenger Web アプリケーションを使用しているすべてのアプリケーションが、確実に適切な SELinux ドメインで実行されるようになりました。
- ユーザーが |rsync| デーモンを特定のファイルに直接ログするように構成しようとすると、SELinux ポリシールールがないためユーザーがログファイルを作成しましたが、追加できませんでした。この更新により、SELinux ポリシールールが追加され、|rsync| が特定のログファイルに追加できるようになりました。
- 複数のデバイスがシステムに追加されると、udev ルールが ktune サービスを新しいデバイスごとに再起動したため、いくつかの再起動が短い時間間隔で発生していました。
複数の再起動がカーネルで競合状態を発生させ、修正するのが容易ではありませんでした。現在は、調整コードが修正され、1 つ以上の再起動が 10 秒ごとに発生されないようになり、競合状態は回避されています。
この更新は、selinux のバグを防ぐためのセキュリティツリーに配置されています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 64959
ファイル名: sl_20130221_selinux_policy_enhancement_update_on_SL6_x.nasl
バージョン: 1.6
タイプ: local
エージェント: unix
公開日: 2013/3/1
更新日: 2021/1/14
サポートされているセンサー: Nessus Agent, Nessus
脆弱性情報
CPE: p-cpe:/a:fermilab:scientific_linux:selinux-policy, p-cpe:/a:fermilab:scientific_linux:selinux-policy-doc, p-cpe:/a:fermilab:scientific_linux:selinux-policy-minimum, p-cpe:/a:fermilab:scientific_linux:selinux-policy-mls, p-cpe:/a:fermilab:scientific_linux:selinux-policy-targeted, x-cpe:/o:fermilab:scientific_linux
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
パッチ公開日: 2013/2/21
脆弱性公開日: 2013/2/21