Med DSA-1603-1 släppte Debian en uppdatering till namnservern BIND 9, vilken introducerade slumpning av UDP-källportar för att minska hotet från DNS-förgiftningsangrepp (identifierat av projektet Common Vulnerabilities and Exposures som CVE-2008-1447). Rättelsen, i sig korrekt, var inkompatibel med versionen av SELinux-referenspolicyn som medföljde Debian Etch, och som inte tillät en process som körde i named_t-domänen att ansluta till uttag på UDP-portar bortsett från den normala ”domain”-porten (53). Inkompatibiliteten gäller både för ”targeted”- och ”strict”-policypaketen som fanns i den här versionen av refpolicy.
Den här uppdateringen av refpolicy-paketen tilldelar named_t-processer möjligheten att ansluta till godtyckliga UDP-portar. Efter installationen kommer det uppdaterade paketet att försöka uppdatera bind-policymodulen på system där den redan har lästs in och den tidigare versionen av refpolicy var 0.0.20061018-5 eller tidigare.
Eftersom Debians refpolicypaket ännu inte har skrivits för att hantera uppgraderbarhet i policymodulen, och eftersom Debiansystem med SELinux aktiverat ofta har en viss grad av platsspecifik justering av policyn är det svårt att säkerställa att den nya bind-policyn kan uppdateras utan problem. Paketuppgraderingen kommer därför inte att avbrytas om bind-policyuppdateringen misslyckas. Den nya policymodulen finns i /usr/share/selinux/refpolicy-targeted/bind.pp efter installationen. Administratörer som vill använda bind-servicepolicyn kan lösa eventuella inkompatibiliteter i policyn och efteråt installera uppgradering manuellt. En mer detaljerad diskussion om rättningsproceduren finns på http://wiki.debian.org/SELinux/Issues/BindPortRandomization.
För den stabila utgåvan (Etch) har detta problem rättats i version 0.0.20061018-5.1+etch1.
Den instabila utgåvan (Sid) påverkas inte, eftersom senare refpolicy-utgåvor innehåller en motsvarande ändring.
Vi rekommenderar att ni uppgraderar era refpolicy-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.