LINUX.ORG.RU

Крайне опасная уязвимость в Samba

 ,


1

3

Сотрудники MSVR (Microsoft Vulnerability Research) обнаружили критическую уязвимость CVE-2015-0240 в Samba. Для эксплуатации достаточно удалённо отправить всего один пакет на сервер (авторизация не требуется). После чего злоумышленник получает права суперпользователя, поскольку smbd чаще всего выполняется с наивысшими правами.

Уязвимость присутствует во всех версиях с 3.5.0 по 4.2.0rc4. Рекомендуется как можно скорее провести обновление (уязвимость была экстренно закрыта во внеплановых выпусках 4.1.17, 4.0.25 и 3.6.25) или наложить патчи. При отсутствии такой возможности, пользователям Samba 4 поможет добавление в секцию [global] файла smb.conf строки rpc_server:netlogon=disabled

>>> Подробности

anonymous

Проверено: beastie ()

Ответ на: комментарий от TEX

Это ты про тот самый NFS который by design в случае чего уводит процесс клиента в D-state и затем, если ему не удается восстановить сессию или фаза луны на небе не та, процесс хрен убьешь, каталог фиг размонтируешь, а машину хрен удаленно ребутнешь?

Спасибо, Вы как нельзя лучше описали работу NFS. Люто плюсую. Сам походил по этим граблям. Когда я слышу, что люди начинают предлагать NFS, в кач-ве альтернативы (подставить по вкусу), делаю однозначный вывод, эти люди про NFS только слышали, но не пробовали ее активно использовать.

anc ★★★★★
()
Ответ на: комментарий от glebiao

man nfs

The  intr  /  nointr  mount option is deprecated after kernel 2.6.25.  Only SIGKILL can
interrupt a pending NFS operation on these kernels, and if specified, this mount option
is ignored to provide backwards compatibility with older kernels.

Даже если бы она работала, то это решило бы только полпроблемы - убийство подвисшего процесса. А вот на кривое восстановление подключения клиента после рестарта сервера, которым грешил к примеру rhel6 чуть ли не весь 13-й год, оно не решает никак.

TEX ★★★
()
Ответ на: комментарий от dexpl

- soft

NB: A so-called "soft" timeout can cause silent data corruption in  certain  cases.  As
such,  use  the soft option only when client responsiveness is more important than data
integrity.  Using NFS over TCP or increasing the value of the retrans option may  miti-
gate some of the risks of using the soft option.

Еще раз

As such, use the soft option only when client responsiveness is more important than data integrity.

TEX ★★★
()
Ответ на: комментарий от anc

Я такое получал при стабильнейшем соединении на серверах в одной стойке, даже на виртуалках в одном и том же сервере. Ибо к примеру читаешь потом changelog, а там бац:

- [fs] nfs: Fix another potential state manager deadlock (Steve Dickson) [960436 950598]
- [fs] nfs: Fix a reboot recovery race when opening a file (Steve Dickson) [952613 908524]

potential млять deadlock.

TEX ★★★
()
Ответ на: комментарий от anc

работает. внимательнее читайте документацию.

PS: да, есть проблемы, когда шара прописана непосредственно в fstab и во время старта клиента сервер недоступен или отсыхает. Решается применеием autofs.

glebiao
()
Ответ на: комментарий от anc

nfs3, как и задумано, сохраняет состояние. И это работает, когда падение стервера --- исключение, а не правило. Ежели это не так, ну что же...

И имхо, сохранение состояния, в норме, --- отличная задумка, клиенты не теряют работу.

Кстати, в любом случае, nfs3 уже не особо актуален, кроме случая сетевой загрузки и файлопомоек.

glebiao
()
Ответ на: комментарий от TEX

может. Но, очевидно, не в данном случае.

Хотя, в любом случае --- не стоит использовать основанные на rpc протоколы на плохом соединении.

glebiao
()
Ответ на: комментарий от anc

Туда же. Я все пробовал. На нестабильном соединении, только ребут, причем хардверный.

юзай FUSE, я вот юзаю sshfs. Но не самбу жеж!

emulek
()
Ответ на: комментарий от glebiao

Нет, не работает, еще раз про фазы луны. Монтируеться ручками в скрипте, отваливается в процессе передачи файлика, и все, до жестокого ребута.

anc ★★★★★
()
Ответ на: комментарий от emulek

Ага, после «разочарования» с nfs я и переполз на sshfs.

anc ★★★★★
()
Ответ на: комментарий от anc

работает. Давайте разбираться. У меня с 6 года активно работало (да и сейчас эпизодически используется) пара десятков ученических и рабочих машин в учебном заведении. Домашний и ряд ресурсов на nfs. НИКАКИХ проблем (soft intr стоят, да).

Траблы были собственно с концепцией (kde4 в конфигурации из коробки + nfs/home == не очень хорошая идея, нужно прикладывать ручки), но собствено с nfs --- нет проблем!

glebiao
()
Ответ на: комментарий от glebiao

Еще раз, повторюсь на нестабильном соединении, такая фигня воспроизводиться, ловил долго (пользователи сами ребутили компы), т.к. объекты раскиданы по ДС, то даже к твоему приезду комп мог быть уже перезагружен. Ранее, работало стабильно и не один год, но вот когда стали возникать проблемы с самим соединением («спасибо» МГТС) понеслось по всем объектам.
Выше хоть и писали про то, что такое может быть и на стабильном соединении, но на моей практике не было ни разу, хотя так же работали удаленные объекты, но на оптике хоть и сильно низко скоростной (64к на весь объект).

anc ★★★★★
()
Ответ на: комментарий от glebiao

НИКАКИХ проблем (soft intr стоят, да).

Ученические компы да и домашние они обычно выключаются вечером и включаются утром. А речь в основном про перезагрузку сервера при подключенном клиенте.

У меня тоже особо не было проблем, а потом на ровном месте хоп и месяц бедлама. Сейчас опять работает, но осадочек остался знаете-ли.

TEX ★★★
()
Ответ на: комментарий от dexpl

may some он и в африке may some. К стабильности это не имеет никакого отношения. Было бы иначе - soft режим включался бы по умолчанию.

TEX ★★★
()
Ответ на: комментарий от anc

я думаю, что проблема связана как раз с описанным поведением при потерях на udp. Пробовали чистый tcp?

С nfs(3-), если возникают траблы, первым делом нужно смотреть качество udp соединения.

glebiao
()
Ответ на: комментарий от TEX

вы плохо представляете специфику. ученические — это бешенный доступ к файлам (особенно, если сильно вумные товарищи догадываются, где взять и как запустить линуксовые игрушки или вайн) и совершенно непредсказуемые ребуты.

Если в классе учителю пофиг, то возводим вышесказанное в квадрат.

Впрочем,со студентами ситуация сильно лучше. что да. то да.

Да и с учителями... когда на одной машине один и тот же человек залогинен сразу в N (>3) графических сессиях KDE (потому, что он забыл, что н закрыл за собой сеанс, а заблокировал, а другой юзер сменил пользователя... и так до тех пор, пока машина вообще подаёт признгаки жизни)...

Лучшего стресс-теста для сетевой ФС просто не придумать.

glebiao
()
Ответ на: комментарий от TEX

нет. потому по умолчанию и не включается, что возможны э... непредсказуемые искажения в открытых и записываемых(!) документах. в финансах, например, это недопустимо (а это довольно большой сегмент, где nfs используется).

glebiao
()
Ответ на: комментарий от glebiao

Пробовали чистый tcp?

Угу. Но потом надоело прыгать и поменял на ssh. Главное работает вот и профит.

С nfs(3-), если возникают траблы, первым делом нужно смотреть качество udp соединения.
первым делом нужно смотреть качество udp соединения.

Качество самого соединения никакое, причем здесь протоколы, модем обычный модем (не путать с adls)
Наверное который раз повторюсь про фазы луны (это самое лучшее описание «работы» nfs которое дал TEX), на стенде это повторить практически невозможно.

anc ★★★★★
()
Ответ на: комментарий от anc

Ясно. Подозреваю, что тут нужна тонкая настройка (скорее всего, в игру вступают некие тайм-ауты, я настолько глубоко не копал. Если так, то понятны Ваши «фазы луны». Не луны, а джиттер в канале + игра тайм-аутов).

12, да даже и 8 лет назад, nfs по 14400 и даже 9600 вполне жила, хотя это весьма медленно печально (но это было заметно лучше smb!). Однако даже и тогда долго в этом направлении не экспериментировал, так как идиотизм затеи стал ясен сразу (канал сильно забивается непроизводительными обращениями, особенно, если используются файл-менеджеры, часто перечитывающие каталог). Тут лучше sftp/sshfs, или даже прямой синхронизации rsync/unison, ничего не придумать.

glebiao
()
Ответ на: комментарий от glebiao

Мне недопустимо. Поэтому все советы включить soft и сделать вид что проблемы решена, только улыбают.

TEX ★★★
()
Ответ на: комментарий от glebiao

Подозреваю, что тут нужна тонкая настройка

Возможно и можно что-то было подкрутить, но т.к. отловить такие моменты практически не представлялось возможным, я перепробовал различные основные настройки, на что и так потратилось много времени, так что sshfs наше все, это оказалось сделать быстрее, чем дальше тратить время.

12, да даже и 8 лет назад, nfs по 14400 и даже 9600 вполне жила, хотя это весьма медленно печально (но это было заметно лучше smb!)

Вот и у меня получается 11 лет прошло, начинало работать осенью 2003, скорости были тоже разнообразные, в том числе некоторое кол-во больше 14400 и выдать не могло (zyxel-и старые) а на входе пулы из usr сборок и более новые 3com. Но для моей задачи работало стабильно, проблемы стали появляться с началом модернизации у МГТС.
А то что не smb - это однозначно, скорость просто никакая.

anc ★★★★★
()
Ответ на: комментарий от anc

делаю однозначный вывод, эти люди про {something} только слышали, но не пробовали ее активно использовать.

Вы описали, наверно, 9/10 ЛОРа.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.