Wir haben drei neue Versionen veröffentlicht: Bareos 19.2.8, 18.2.9 und 17.2.10. Die Updates schließen zwei Sicherheitslücken, die – vor allem in Kombination miteinander – ein ernstzunehmendes Problem darstellen können.
1. Umgehen der Authentifizierung im Director, CVE-2020-4042 (Issue #1250)
Das erste Problem betrifft die Kommunikation zwischen Bareos Director und einem File Daemon (Client): Ist die Client-initiierte Verbindung explizit auf dem File Daemon aktiviert worden, dann ist es theoretisch möglich, einen kompromittierten Client einzuschleusen. Dieser kann dann mit dem Director ohne Kenntnis des Passworts kommunizieren.
Bareos 19.2.8 schließt diese Sicherheitslücke. Anwender:innen, die Bareos 18.x oder 17.x einsetzen, sollten also entweder nur noch Verbindungen in eine Richtung zulassen (Director an File Daemon oder File Daemon an Director) oder dringend ihr System aktualisieren, wenn sie die bidirektionale Verbindung benötigen.
2. Buffer Overrun bei Verify-Jobs, CVE-2020-11061 (Issue #1210)
Ein Heap Overflow im Bareos Director (< 19.2.8, 18.2.9 und 17.2.10) erlaubt einem kompromittierten File Daemon, den Programmspeicher des Director mit übergroßen Digest-Strings während der Initialisierung eines Verify-Jobs zu beschädigen. Dies bedeutet, dass es damit potenziell möglich ist, beliebigen Programmcode im Director auszuführen.
Das Problem ist in Bareos 19.2.8, 18.2.9 und 17.2.10 behoben.
3. Diverse Verbesserungen in 19.2.8
Das oVirt-Plugin nimmt jetzt in der Konfiguration auch die eindeutige ID (UUID) von virtuellen Maschinen anstelle des Namens entgegen. In der Vergangenheit kam es zu Ausfällen, wenn in der Backup-Konfiguration der Name der VM stand und Anwender:innen diese dann umbenannten. Außerdem haben wir ein Problem behoben, das auftrat, wenn beim Wiederherstellen von Sicherungen nicht der oVirt-Cluster, sondern eine Image-Datei definiert wurde.
Das Modul Python-Bareos ist nun über den Python Package Index (PyPI) erhältlich. Nutzer:innen können es daher mit dem Tool pip
(Python-Paketmanager) installieren und aktualisieren.
Das Werkzeug bareos-dbcopy
, das zum Konvertieren von MySQL- in PostgreSQL-Datenbanken dient, ist übrigens erheblich schneller geworden.