Abonnieren Sie unsere Nachrichten als rss.

Bareos Company News Reader

Neue Point-Releases

Update

1. Umgehen der Authentifizierung im Director, CVE-2020-4042 (Issue #1250)

Das erste Problem betrifft die Kommunikation zwischen Bareos Director und einem File Daemon (Client): Ist die Client-initiierte Verbindung explizit auf dem File Daemon aktiviert worden, dann ist es theoretisch möglich, einen kompromittierten Client einzuschleusen. Dieser kann dann mit dem Director ohne Kenntnis des Passworts kommunizieren.

Bareos 19.2.8 schließt die Sicherheitslücke. Anwender*innen, die Bareos 18.x oder 17.x einsetzen, sollten entweder nur noch Verbindungen in eine Richtung zulassen (Director an File Daemon oder File Daemon an Director) oder dringend ihr System aktualisieren, wenn sie die bidirektionale Verbindung benötigen.

 

2. Buffer Overrun bei Verify-Jobs, CVE-2020-11061 (Issue #1210)

Ein Heap Overflow im Bareos Director (< 19.2.8, 18.2.9 und 17.2.10) erlaubt einem kompromittierten File Daemon, den Programmspeicher des Director mit übergroßen Digest-Strings während der Initialisierung eines Verify-Jobs zu beschädigen. Damit ist es potenziell möglich, beliebigen Programmcode im Director auszuführen.

 

Das Problem ist in Bareos 19.2.8, 18.2.9 und 17.2.10 behoben.

 

3. Diverse Verbesserungen in 19.2.8

Das oVirt-Plugin nimmt jetzt in der Konfiguration auch die eindeutige ID (UUID) von virtuellen Maschinen anstelle des Namens entgegen. In der Vergangenheit hat es zu Ausfällen geführt, wenn in der Backup-Konfiguration der Name der VM stand und diese dann umbenannt wurde. Außerdem haben wir ein Problem behoben, das auftrat, wenn beim Wiederherstellen von Sicherungen nicht der oVirt-Cluster, sondern eine Image-Datei definiert wurde.

 

Das Modul Python-Bareos ist nun über den Python Package Index (PyPI) erhältlich und kann daher mit dem Tool pip (Python-Paketmanager) installiert und aktualisiert werden.

 

Das Werkzeug bareos-dbcopy, das zum Konvertieren von MySQL- in PostgreSQL-Datenbanken dient, ist nun erheblich schneller geworden.

 

Downloads

Zurück