git.gag.com Git - debian/amanda/blob - docs/security.txt

   1
   2 Chapter 29. Response to CPIO Security Notice Issue 11:
   3 Prev  Part VI. Historical files                   Next
   4
   5 -------------------------------------------------------------------------------
   6
   7 Chapter 29. Response to CPIO Security Notice Issue 11:
   8
   9
  10 Amanda Core Team
  11
  12 Original text
  13 AMANDA Core Team
  14
  15 Stefan G. Weichinger
  16
  17 XML-conversion;Updates
  18 AMANDA Core Team
  19 <sgw@amanda.org>
  20 Table of Contents
  21
  22
  23   Affected_Versions
  24
  25   Workaround
  26
  27   Acknowledgements
  28
  29 The Amanda development team confirms the existence of the amrecover security
  30 hole in recent versions of Amanda. We have made a new release, Amanda 2.4.0b5,
  31 that fixes the amrecover problem and other potential security holes, and is the
  32 product of a security audit conducted in conjunction with the OpenBSD effort.
  33 The new version is available at:
  34 ftp://ftp.amanda.org/pub/amanda/amanda-2.4.0b5.tar.gz
  35 Here's some more information about the amrecover problem to supplement the
  36 information given in the CPIO Security Notice:
  37
  38  Affected Versions
  39
  40 The Amanda 2.3.0.x interim releases that introduced amrecover, and the 2.4.0
  41 beta releases by the Amanda team are vulnerable.
  42 Amanda 2.3.0 and earlier UMD releases are not affected by this particular bug,
  43 as amrecover was not part of those releases. However, earlier releases do have
  44 potential security problems and other bugs, so the Amanda Team recommends
  45 upgrading to the new release as soon as practicable.
  46
  47  Workaround
  48
  49 At an active site running Amanda 2.3.0.x or 2.4.0 beta, amrecover/ amindexd can
  50 be disabled by:
  51
  52 * removing amandaidx and amidxtape from /etc/inetd.conf
  53
  54
  55 * restarting /etc/inetd.conf (kill -HUP should do)
  56
  57 This will avoid this particular vulnerability while continuing to run backups.
  58 However, other vulnerabilities might exist, so the Amanda Team recommends
  59 upgrading to the new release as soon as practicable.
  60
  61  Acknowledgements
  62
  63 This release (2.4.0) has addressed a number of security concerns with the
  64 assistance of Theo de Raadt, Ejovi Nuwere and David Sacerdote of the OpenBSD
  65 project. Thanks guys! Any problems that remain are our own fault, of course.
  66 The Amanda Team would also like to thank the many other people who have
  67 contributed suggestions, patches, and new subsystems for Amanda. We're grateful
  68 for any contribution that helps us achieve and sustain critical mass for
  69 improving Amanda.
  70
  71 Note
  72
  73 Refer to http://www.amanda.org/docs/security.html for the current version of
  74 this document.
  75 -------------------------------------------------------------------------------
  76
  77 Prev                        Up                         Next
  78 Part VI. Historical files  Home  Chapter 30. Upgrade Issues
  79