BlogBlog ÜbersichtjailscriptportsoptFreeBSDLinksThermoskanne

Installierte Ports auf Sicherheitsprobleme prüfen

Möchte man überprüfen, ob die installierten Ports Sicherheitsprobleme aufweisen, so empfielt es sich security/portaudit zu installieren:

# cd /usr/ports/security/portaudit && make install clean

Danach kann portaudit in der Konsole ausgeführt werden:

# portaudit -Fda
auditfile.tbz 100% of 32 kB 43 kBps
New database installed.
Database created: Fr 3 Feb 2006 16:10:03 CET
0 problem(s) in your installed packages found.

Die Option -F lädt die aktuellste Datenbank herunter, in der alle aktuellen Sicherheitsprobleme der Ports verzeichnet sind, -d zeigt die Zeit an, wann die Datenbank erstellt wurde und -a prüft alle installierten Ports auf Sicherheitsprobleme.

Im folgenden Beispiel sollte ein Update gewisser Ports in Betracht gezogen werden:

# portaudit -Fda
auditfile.tbz 100% of 32 kB 36 kBps
New database installed.
Database created: Sat Feb 4 00:10:03 CET 2006
Affected package: clamav-0.86.2_1
Type of problem: clamav -- possible heap overflow in the UPX code.
Reference: http://www.FreeBSD.org/ports/portaudit/612a34ec-81dc-11da-a043-0002a5c3d308.html

Affected package: p5-Mail-SpamAssassin-3.0.4
Type of problem: p5-Mail-SpamAssassin -- long message header denial of service.
Reference: http://www.FreeBSD.org/ports/portaudit/7f3fdef7-51d2-11da-8e93-0010dc4afb40.html

Affected package: squid-2.5.10_5
Type of problem: squid -- FTP server response handling denial of service.
Reference: http://www.FreeBSD.org/ports/portaudit/1c3142a3-4ab2-11da-932d-00055d790c25.html

Affected package: ruby-1.8.2_4
Type of problem: ruby -- vulnerability in the safe level settings.
Reference: http://www.FreeBSD.org/ports/portaudit/1daea60a-4719-11da-b5c6-0004614cc33d.html

Affected package: clamav-0.86.2_1
Type of problem: clamav -- arbitrary code execution and DoS vulnerabilities.
Reference: http://www.FreeBSD.org/ports/portaudit/271498a9-2cd4-11da-a263-0001020eed82.html

Affected package: unzip-5.51
Type of problem: unzip -- permission race vulnerability.
Reference: http://www.FreeBSD.org/ports/portaudit/9750cf22-216d-11da-bc01-000e0c2e438a.html

Affected package: pcre-5.0
Type of problem: pcre -- regular expression buffer overflow.
Reference: http://www.FreeBSD.org/ports/portaudit/b971d2a6-1670-11da-978e-0001020eed82.html

Affected package: squid-2.5.10_5
Type of problem: squid -- possible denial of service condition regarding NTLM authentication.
Reference: http://www.FreeBSD.org/ports/portaudit/44e7764c-2614-11da-9e1e-c296ac722cb3.html

8 problem(s) in your installed packages found.

You are advised to update or deinstall the affected package(s) immediately.

Ausserdem installiert portaudit folgende Datei /usr/local/etc/periodic/security/410.portaudit, welche täglich während den daily security Skripten ausgeführt wird und die installierten Ports automatisch auf Sicherheitslöcher prüft.

Desweiteren wird nun bevor man einen Port installiert automatisch überprüft, ob der installierte Port Sicherheitslöcher aufweist.

Eine Weboberfläche der Datenbank findet man hier: http://www.vuxml.org/freebsd/index.html

UPDATE 05.02.2007:

portaudit wurde von security in die neue Kategorie ports-mgmt verschoben. portaudit kann nun wie folgt installiert werden:

# cd /usr/ports/ports-mgmt/portaudit && make install clean
Related Entries:
Gespeicherte Optionen nach OptionsNG konvertieren
Ports-Subversion-Repository spiegeln
sysinstall-Ersatz für neuere FreeBSD-Versionen
Alte FreeBSD-Port Patchdateien aufsplitten
FreeBSD-Portbaum auf Fehler überprüfen
Comments (4)  Permalink

Comments

Alain @ 04.02.2006 08:44 UTC
Portaudit ist echt das praktischste Tool (ok, jailaudit ist fast noch praktischer :)). Die hier im Zusammenhang mit portaudit sind auch noch wichtig:
 cvsup -g -L 2 /usr/sup/ports-supfile
cd /usr/ports/ && make fetchindex

danach sind die ports auch aktuell :)
Beat @ 04.02.2006 17:29 UTC
Der Portsbaum ist dann aktuell, die installierten Ports die Sicherheitslücken aufweisen müssen dann aber noch aktualisiert werden. Dies macht man am einfachsten mit portupgrade(1).
Alain @ 04.02.2006 21:25 UTC
Ja stimmt *gg* portupgrade -rfR * und ins wochenende fahren ;)
Beat @ 04.02.2006 22:19 UTC
Genau ;-) Meistens reicht jedoch ein portupgrade -rf , dann hat man das Wochenende wieder frei... ;-)
No new comments allowed (anymore) on this post.