[ul]
Hinweise zur Installation des Security-Updates:
[li]Das Einspielen von Security-Updates ist im aktuellen Handbuch im Abschnitt 9.2 - UCS Security Updates dokumentiert.[/li]
[li] Das Security-Update sollte mit dem folgenden Befehl auf den UCS Systemen installiert werden. univention-actualise --dist-upgrade
Im Kern entspricht das Vorgehen einem apt-get dist-upgrade. Die zusätzlichen Optionen stellen sicher, dass die Pakete mit den von Univention getesteten Vorgaben installiert werden.[/li]
[li] Das Update kann auch durch Einbinden folgender Zeilen in die Datei /etc/apt/sources.list und einem anschliessenden Aufruf von univention-actualise --dist-upgrade installiert werden:
deb http://apt.univention.de/2.0/maintained/ sec5/all/
deb http://apt.univention.de/2.0/maintained/ sec5/i386/
deb http://apt.univention.de/2.0/maintained/ sec5/amd64/
[/li]
[li] Bind (CVE-2008-1447)
Im DNS-Protokoll wurde eine Design-Schwäche gefunden, die zu DNS-Spoofing
führen kann. Dadurch können z.B. Abfragen an Webseiten oder Emails umgelenkt
werden.
Das unterliegende Problem ist protokollinhärent und kann ohne Änderungen am
DNS-Protokoll nicht behoben werden. Dieses Update für den Bind-Nameserver
führt als Gegenmassnahme randomisierte UDP-Quellports für DNS-Anfragen
ein (Source Port Randomisation). Dies erschwert Spoofing-Attacken so weit,
dass diese nicht mehr praktikabel werden.
Diese Änderungen erfordert möglicherweise Änderungen an der
Netzwerk-Konfiguration, etwa Anpassungen der Paketfilter Ihrer Firewall.
Nach der Installation des Pakets sollte Bind mit
/etc/init.d/univention-bind restart
bzw.
/etc/init.d/univention-bind-proxy restart
neu gestartet werden.
Das Univention Configuration Registry Template des Univention Bind Proxy wurde
angepasst, so dass kein statischer Quellport mehr vorgegeben wird.
[/li]
[li] Samba (CVE-2008-1105)
Ein Bufferoverflow in der Samba-Client-Bibliothek erlaubt das Ausführen von
Code. Dieses Update beseitigt diese Sicherheitslücke.[/li][/ul]