vixie-cron-4.1-81.AXS3
エラータID: AXSA:2012-254:01
以下項目について対処しました。
[Security Fix]
- Vixie cronの crontab.c の edit_cmd 関数は,ローカルのユーザが任意のファイルの変更時間を変えることが可能で,/tmpディレクトリ配下の一時ファイルに対してシンボリックリンク攻撃を実行することによって、サービス拒否攻撃を引き起こす脆弱性があります。(CVE-2010-0424)
[Bug Fix]
- LDAP サーバ上 あるいは NFS 上でマウントされたホームディレクトリを持ったユーザの cron ジョブが orphaned として扱われるため,ジョブが拒否される問題を修正しました。
- /etc/cron.d/ ディレクトリにある cron ジョブに不正なエントリが含まれている場合,エラーをログに記録しない問題を修正しました。
- "@reboot" crontab マクロが crond デーモンが再起動する際に誤って実行される問題を修正しました。
- crontab が PIE オプションでコンパイルされ,システムのセキュリティが向上しました。
- 親の crond デーモンが停止しているのに,子の crond デーモンが実行している場合,"service crond status" コマンドが誤って crond が実行されていると報告してしまう問題を修正しました。
- pam(8) の man ページによると,crond デーモンが PAM によるアクセスコントロールをサポートしていると記述されていますが,crond の PAM の設定ファイルが環境変数を正しくエクスポートしていないため, cron 経由の PAM の変数の設定が行われない問題を修正しました。
- crond デーモンが mcstransd デーモンによって変更されたラベルを使用すると mcstransd デーモンが実行されず,crond が誤ったラベルを使用し,crond のジョブが実行されず,crond が再起動される問題を修正しました。
- crontab(1) と cron(8) の man ページの複数の誤字を修正しました。
[Enhancement]
- PAM の設定でアクセスが許可されなかったエラーメッセージを crontab が返すようにしました。
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
パッケージをアップデートしてください。
The edit_cmd function in crontab.c in (1) cronie before 1.4.4 and (2) Vixie cron (vixie-cron) allows local users to change the modification times of arbitrary files, and consequently cause a denial of service, via a symlink attack on a temporary file in the /tmp directory.
N/A
SRPMS
- vixie-cron-4.1-81.AXS3.src.rpm
MD5: 14c1a66c1655adb438bff88d5074a6ac
SHA-256: e25333694445a84e3777a614a980a5f65952ad4d07c612d2e5fbade619464d1f
Size: 152.92 kB
Asianux Server 3 for x86
- vixie-cron-4.1-81.AXS3.i386.rpm
MD5: c6497e6a358f0524461c15169238b0a4
SHA-256: 887afcef81397dfa0a0d60525094d9292105de3880e67a65b93a6b3413540982
Size: 81.63 kB
Asianux Server 3 for x86_64
- vixie-cron-4.1-81.AXS3.x86_64.rpm
MD5: 27ae8b9089ac286628ec694375dd6db8
SHA-256: a63497631201a8d3a0de1eda5d5ebec7bdea8be9c95124ccf4698b8510a77cb0
Size: 83.48 kB