UCS 2.0 Sicherheitsupdate 5

[ul]

Hinweise zur Installation des Security-Updates:
[li]Das Einspielen von Security-Updates ist im aktuellen Handbuch im Abschnitt 9.2 - UCS Security Updates dokumentiert.[/li]
[li] Das Security-Update sollte mit dem folgenden Befehl auf den UCS Systemen installiert werden. univention-actualise --dist-upgrade
Im Kern entspricht das Vorgehen einem apt-get dist-upgrade. Die zusätzlichen Optionen stellen sicher, dass die Pakete mit den von Univention getesteten Vorgaben installiert werden.[/li]
[li] Das Update kann auch durch Einbinden folgender Zeilen in die Datei /etc/apt/sources.list und einem anschliessenden Aufruf von univention-actualise --dist-upgrade installiert werden:

deb http://apt.univention.de/2.0/maintained/ sec5/all/ deb http://apt.univention.de/2.0/maintained/ sec5/i386/ deb http://apt.univention.de/2.0/maintained/ sec5/amd64/ [/li]
[li] Bind (CVE-2008-1447)

Im DNS-Protokoll wurde eine Design-Schwäche gefunden, die zu DNS-Spoofing
führen kann. Dadurch können z.B. Abfragen an Webseiten oder Emails umgelenkt
werden.

Das unterliegende Problem ist protokollinhärent und kann ohne Änderungen am
DNS-Protokoll nicht behoben werden. Dieses Update für den Bind-Nameserver
führt als Gegenmassnahme randomisierte UDP-Quellports für DNS-Anfragen
ein (Source Port Randomisation). Dies erschwert Spoofing-Attacken so weit,
dass diese nicht mehr praktikabel werden.

Diese Änderungen erfordert möglicherweise Änderungen an der
Netzwerk-Konfiguration, etwa Anpassungen der Paketfilter Ihrer Firewall.

Nach der Installation des Pakets sollte Bind mit

/etc/init.d/univention-bind restart

bzw.

/etc/init.d/univention-bind-proxy restart

neu gestartet werden.

Das Univention Configuration Registry Template des Univention Bind Proxy wurde
angepasst, so dass kein statischer Quellport mehr vorgegeben wird.

[/li]
[li] Samba (CVE-2008-1105)

Ein Bufferoverflow in der Samba-Client-Bibliothek erlaubt das Ausführen von
Code. Dieses Update beseitigt diese Sicherheitslücke.[/li][/ul]

Mastodon