git.gag.com Git - debian/amanda/blob - docs/security.txt

   1
   2 Chapter 29. Response to CPIO Security Notice Issue 11:
   3 Prev  Part VI. Historical files                   Next
   4
   5 -------------------------------------------------------------------------------
   6
   7 Chapter 29. Response to CPIO Security Notice Issue 11:
   8
   9
  10 Amanda Core Team
  11
  12 Original text
  13 AMANDA Core Team
  14
  15 Stefan G. Weichinger
  16
  17 XML-conversion;Updates
  18 AMANDA Core Team
  19 <sgw@amanda.org>
  20 Table of Contents
  21
  22
  23   Affected_Versions
  24
  25   Workaround
  26
  27   Acknowledgements
  28
  29
  30 Note
  31
  32 Refer to http://www.amanda.org/docs/security.html for the current version of
  33 this document.
  34 The Amanda development team confirms the existence of the amrecover security
  35 hole in recent versions of Amanda. We have made a new release, Amanda 2.4.0b5,
  36 that fixes the amrecover problem and other potential security holes, and is the
  37 product of a security audit conducted in conjunction with the OpenBSD effort.
  38 The new version is available at:
  39 ftp://ftp.amanda.org/pub/amanda/amanda-2.4.0b5.tar.gz
  40 Here's some more information about the amrecover problem to supplement the
  41 information given in the CPIO Security Notice:
  42
  43  Affected Versions
  44
  45 The Amanda 2.3.0.x interim releases that introduced amrecover, and the 2.4.0
  46 beta releases by the Amanda team are vulnerable.
  47 Amanda 2.3.0 and earlier UMD releases are not affected by this particular bug,
  48 as amrecover was not part of those releases. However, earlier releases do have
  49 potential security problems and other bugs, so the Amanda Team recommends
  50 upgrading to the new release as soon as practicable.
  51
  52  Workaround
  53
  54 At an active site running Amanda 2.3.0.x or 2.4.0 beta, amrecover/ amindexd can
  55 be disabled by:
  56
  57 * removing amandaidx and amidxtape from /etc/inetd.conf
  58
  59
  60 * restarting /etc/inetd.conf (kill -HUP should do)
  61
  62 This will avoid this particular vulnerability while continuing to run backups.
  63 However, other vulnerabilities might exist, so the Amanda Team recommends
  64 upgrading to the new release as soon as practicable.
  65
  66  Acknowledgements
  67
  68 This release (2.4.0) has addressed a number of security concerns with the
  69 assistance of Theo de Raadt, Ejovi Nuwere and David Sacerdote of the OpenBSD
  70 project. Thanks guys! Any problems that remain are our own fault, of course.
  71 The Amanda Team would also like to thank the many other people who have
  72 contributed suggestions, patches, and new subsystems for Amanda. We're grateful
  73 for any contribution that helps us achieve and sustain critical mass for
  74 improving Amanda.
  75 -------------------------------------------------------------------------------
  76
  77 Prev                        Up                         Next
  78 Part VI. Historical files  Home  Chapter 30. Upgrade Issues
  79