Portaudit

Aus Wiki.hidden.ch
Wechseln zu: Navigation, Suche

Portaudit als Mittel der Sicherheit

Portaudit erlaubt es zu erkennen, welche Ports Sicherheitslöcher haben. Sobald das Programm installiert ist, checkt es automatisch die Installierten Ports und deren Sicherheitslöcher.

Installation

Wie üblich ist portaudit ein Port und lässt sich daher sehr einfach installieren:

-su-2.05b# cd /usr/ports/ports-mgmt/portaudit
-su-2.05b# make install clean

Updaten der Sicherheitsdatenbank

Dies erfolgt per -F Option, -a zeigt auch gleich den Report an

-su-2.05b# /usr/local/sbin/portaudit -Fda
auditfile.tbz                                 100% of   24 kB   40 kBps
New database installed.
Database created: Thu May 12 23:10:03 CEST 2005

Überprüfen des Systems

Abgleichen, welche Ports nicht sicher sind, lässt sich mit

-su-2.05b# portaudit -a
Affected package: wget-1.8.2_6
Type of problem: wget -- multiple vulnerabilities.
Reference: <http://www.FreeBSD.org/ports/portaudit/06f142ff-4df3-11d9-a9e7-0001020eed82.html>

Affected package: FreeBSD-491100
Type of problem: multiple vulnerabilities in the cvs server code.
Reference: <http://www.FreeBSD.org/ports/portaudit/d2102505-f03d-11d8-81b0-000347a4fa7d.html>
Note: To disable this check add the uuid to `portaudit_fixed' in /usr/local/etc/portaudit.conf

2 problem(s) in your installed packages found.

You are advised to update or deinstall the affected package(s) immediately.

Sollte man einen Port upgraden, dieser jedoch nicht sicher ist, so weigert sich portupgrade schlichtweg:

-su-2.05b# portupgrade wget-1.8.2_6
[Updating the pkgdb <format:bdb1_btree> in /var/db/pkg ... - 401 packages found (-0 +0)  done]
--->  Upgrading 'wget-1.8.2_6' to 'wget-1.8.2_7' (ftp/wget)
--->  Building '/usr/ports/ftp/wget'
===>  Cleaning for libiconv-1.9.2_1
===>  Cleaning for gettext-0.14.1
===>  Cleaning for gmake-3.80_2
===>  Cleaning for libtool-1.5.10_1
===>  Cleaning for expat-1.95.8_1
===>  Cleaning for wget-1.8.2_7
===>  wget-1.8.2_7 has known vulnerabilities:
=> wget -- multiple vulnerabilities.
   Reference: <http://www.FreeBSD.org/ports/portaudit/06f142ff-4df3-11d9-a9e7-0001020eed82.html>
=> Please update your ports tree and try again.
*** Error code 1
   
Stop in /usr/ports/ftp/wget.
** Command failed [exit code 1]: /usr/bin/script -qa /tmp/portupgrade62459.0 make
** Fix the problem and try again.
** Listing the failed packages (*:skipped / !:failed)
        ! ftp/wget (wget-1.8.2_6)       (unknown build error)
--->  Packages processed: 0 done, 0 ignored, 0 skipped and 1 failed

Praktischerweise erhält man noch eine URL mit den detaillierteren Informationen über die Art des Sicherheitslochs.


Portaudit umgehen

Wenn man einen Port trotzdem installieren möchte, so kann man das Flag DISABLE_VULNERABILITIES setzen.

-su-2.05b# portupgrade  -m DISABLE_VULNERABILITIES=yes wget-1.8.2_6

Und schon umgeht er den Portaudit...


Den "Sicherheitsticker" kann man hier einsehen.

Weblinks