Scientific Linux 安全更新:SL5.x i386/x86_64 中的 vixie-cron

low Nessus 插件 ID 61273

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

vixie-cron 程序包包含 cron 的 Vixie 版本。Cron 是一个标准 UNIX 后台程序,在计划的时间运行指定的程序。
vixie-cron 程序包为 cron 的标准版本添加了更高的安全性和更强大的配置选项。

在 crontab 程序对在编辑用户 crontab 文件时所创建的临时文件执行文件时间戳更新的方式中发现争用条件。本地攻击者可利用此缺陷,通过符号链接攻击来更改任意系统文件的修改时间。(CVE-2010-0424)

此更新还修复以下缺陷:

- 在轻型目录访问协议 (LDAP) 服务器或网络文件系统 (NFS) 上挂载主目录的用户的 Cron 作业经常会被拒绝,因为作业被标记为孤立(通常是因为在不可访问 NIS 和 LDAP 服务器时发生临时 NSS 查找失败)。通过此更新,将创建孤立的数据库,并以预期方式执行 cron 作业。

- 以前,如果位于 /etc/cron.d/ 目录中的 cron 作业文件包含无效条目,cron 不会记录任何错误。已应用上游修补程序以解决此问题,cron 作业文件中的无效条目现在会产生警告消息。

- 以前,“@reboot”crontab 宏会在重新启动 crond 后台程序时错误地运行作业。如果用户在多台计算机上使用该宏,每次重新启动 crond 后台程序时都会执行所有包含“@reboot”选项的条目。通过此更新,仅当重新启动计算机时才会执行作业。

- crontab 实用工具现已被编译为与位置无关的可执行文件 (PIE),这增强了系统的安全性。

- 停止父 crond 后台程序但子 crond 后台程序正在运行(执行程序)时,“service crond status”命令会错误地报告称 crond 正在运行。已修改源代码,“service crond status”命令现在会正确地报告称 crond 已停止。

- 根据 pam(8) 手册页,cron 后台程序 crond 通过 PAM(可插拔认证模块)来支持访问控制。但是,crond 的 PAM 配置文件未正确导出环境变量,因此无法通过 cron 来设置 PAM 变量。此更新包含已修正的 /etc/pam.d/crond 文件,其可正确导出环境变量。通过 cron 设置 pam 变量现在会按 pam(8) 手册页中记录的方式进行。

- 以前,mcstransd 后台程序会修改 crond 后台程序的标签。当 crond 后台程序尝试使用修改后的标签而 mcstransd 未运行时,crond 会使用不正确的标签。因此,安全增强型 Linux (SELinux) 拒绝的记录会填满 cron 日志,不会执行任何作业,并且必须重新启动 crond。通过此更新,mcstransd 和 crond 都使用原始 SELinux 标签,从而防止发生该问题。

- 以前,crontab(1) 和 cron(8) 手册页包含多处印刷错误。此更新修复了这些错误。

此外,此更新还添加了以下增强:

- 以前,crontab 实用工具不会将可插拔认证模块 (PAM) 用于用户验证。因此,即使访问受限(通常通过 access.conf 文件拒绝),用户也可访问 crontab。通过此更新,crontab 会返回错误消息,表示用户因 PAM 配置而无法访问 crontab。

所有 vixie-cron 用户都应升级此更新后的程序包,其中解决了这些问题并添加此增强。

解决方案

更新受影响的 vixie-cron 和/或 vixie-cron-debuginfo 程序包。

另见

http://www.nessus.org/u?c64f48eb

插件详情

严重性: Low

ID: 61273

文件名: sl_20120221_vixie_cron_on_SL5_x.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2012/8/1

最近更新时间: 2021/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

CVSS v2

风险因素: Low

基本分数: 3.3

矢量: CVSS2#AV:L/AC:M/Au:N/C:N/I:P/A:P

漏洞信息

CPE: x-cpe:/o:fermilab:scientific_linux, p-cpe:/a:fermilab:scientific_linux:vixie-cron, p-cpe:/a:fermilab:scientific_linux:vixie-cron-debuginfo

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

补丁发布日期: 2012/2/21

漏洞发布日期: 2010/2/25

参考资料信息

CVE: CVE-2010-0424

CWE: 59