augeas-1.0.0-5.AXS4.1

エラータID: AXSA:2014-034:01

リリース日: 
2014/03/18 Tuesday - 19:26
題名: 
augeas-1.0.0-5.AXS4.1
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Augeas の transform_save の transform_save 関数には,.augnew ファイル上でのシンボリックリンク攻撃によって,ローカルのユーザが任意のファイルを上書きし,機密情報を取得する脆弱性があります。 (CVE-2012-0786)

- Augeas の transfer.c のclone_file 関数は,copy_if_rename_fails が設定してあり,EXDEV あるいはEBUSY が rename 関数によって返されている場合,バックアップセーブオプションを用いた際に,(1) .augsave あるいは (2)目的のファイル上のbind マウントによって,あるいは新規ファイルセーブオプションを用いた場合,(3) .augnew ファイルによって,ローカルのユーザが任意のファイルを上書きし,機密情報を取得する脆弱性があります。 (CVE-2012-0787)

- Augeas の transform.c のtransform_save 関数は,umask が "7" を含んでいる際には適切にパーミッション値を計算しておらず,詳細不明な要因によって,新規のファイルに誰にでも読み込めるパーミッションを使用し,ローカルのユーザがファイルを変更することのできる脆弱性があります。 (CVE-2013-6412)

[Bug Fix]
- XML 属性でシングルクォートを使用すると,Augeas が XML lens でパースすることができない問題を修正しました。

- Augeas が vsftpd.conf ファイルで "require_ssl_reuse" オプションを設定することができない問題を修正しました。

- XML lens が Unix 以外の改行文字をサポートしておらず,Augeas がそのような改行文字を含むファイルをロードすることができない問題を修正しました。

- Augeas がオプションディレクティブにて "=" の両側にスペース文字を持つ場合 modprobe.conf 設定ファイルをパースできない問題を修正しました。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2012-0786
The transform_save function in transform.c in Augeas before 1.0.0 allows local users to overwrite arbitrary files and obtain sensitive information via a symlink attack on a .augnew file.
CVE-2012-0787
The clone_file function in transfer.c in Augeas before 1.0.0, when copy_if_rename_fails is set and EXDEV or EBUSY is returned by the rename function, allows local users to overwrite arbitrary files and obtain sensitive information via a bind mount on the (1) .augsave or (2) destination file when using the backup save option, or (3) .augnew file when using the newfile save option.
CVE-2013-6412
The transform_save function in transform.c in Augeas 1.0.0 through 1.1.0 does not properly calculate the permission values when the umask contains a "7," which causes world-writable permissions to be used for new files and allows local users to modify the files via unspecified vectors.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. augeas-1.0.0-5.AXS4.1.src.rpm
    MD5: 8605878078a65092b168ce2b1b9abb91
    SHA-256: f3721511c3664c5ffb4135f501a96260cc7d6224ba51c5a48d80b35aad10c5f8
    Size: 1.80 MB

Asianux Server 4 for x86
  1. augeas-libs-1.0.0-5.AXS4.1.i686.rpm
    MD5: 2dabdd8fce5f5bdd46249c5ef9e53720
    SHA-256: 8878449522f7a8156ac252427161c845593244e71df6132cb7e8eef19335028d
    Size: 307.09 kB

Asianux Server 4 for x86_64
  1. augeas-libs-1.0.0-5.AXS4.1.x86_64.rpm
    MD5: dd069adc615e8d35afbf7a9a49b7b875
    SHA-256: c8f5218034fab7330f23740a8d989e72bc1fa17b543bf0573c6059a405adf2de
    Size: 309.90 kB
  2. augeas-libs-1.0.0-5.AXS4.1.i686.rpm
    MD5: 2dabdd8fce5f5bdd46249c5ef9e53720
    SHA-256: 8878449522f7a8156ac252427161c845593244e71df6132cb7e8eef19335028d
    Size: 307.09 kB