Критическая уязвимость в Samba

Решение: Способов устранения уязвимости не существует в настоящее время. Печально :-D

самбакапец?

>Способов устранения уязвимости не существует в настоящее время.

не использовать самбу?

уязвимость в smb сервере или клиенте?

Ты используешь самбу на серверах смотрящих во внешку?

>уязвимость в smb сервере или клиенте?

root_at_localhost - истиный Ъ, чтит традиции...

PS. хотя да, из новости не ясно

Сходил по ссылке (косяк, да):

Для успешной эксплуатации уязвимости злоумышленник должен обманом заставить пользователя подключиться к злонамеренному серверу (нажать на ссылку типа "smb://") или отправить специально сформированные пакеты демону "nmbd", сконфигурированному как основной браузер домена.

"Для успешной эксплуатации уязвимости злоумышленник должен обманом заставить пользователя подключиться к злонамеренному серверу (нажать на ссылку типа "smb://") или отправить специально сформированные пакеты демону "nmbd", сконфигурированному как основной браузер домена."

Очевидно и там и там

Надо плавно мигрировать на NFS4 и ждать вендекапца.

Обновления для RedHat Enterprise Linux, закрывающие данную брешь, уже доступны:

ftp://ftp.redhat.com/pub/redhat/linux/enterprise/4AS-4.5.z/en/os/SRPMS/samba-...

ftp://ftp.redhat.com/pub/redhat/linux/enterprise/5Server/en/os/SRPMS/samba-3....

Сами разработчики Samba пока не телятся, а RedHat данную дырку для своих клиентов уже заткнула!

P.S. Вы всё ещё сидите на дебиане? :)

P.S.

https://rhn.redhat.com/errata/RHSA-2008-0290.html

>P.S. Вы всё ещё сидите на дебиане? :)

Да, а что?

А Винде такая дырища есть ?

Патч от RedHat'a: http://pastebin.org/39182

>Патч от RedHat'a: http://pastebin.org/39182

В этом диффе самое полезное - комментарий, всем советую сходить по ссылке :)

В который раз уж...

а где гнилые отмазки о закрытых протоколах МС - вам зе теперь открыли их

К сожалению, Секуния выложила информацию на три часа раньше, чем было согласовано, да еще и написала не совсем корректно. Патчи есть, у всех вендоров, но публикация планировалась в 18:00 по Москве.

ab@

>P.S. Вы всё ещё сидите на дебиане? :)

>подвержены версии 3.0.28a, 3.0.29

#dpkg -l | grep samba

samba 3.0.24-6etch9

идите курить

или более ранние :) у вас и есть "более ранняя" :D

> #dpkg -l | grep samba

> samba 3.0.24-6etch9

> идите курить

Мдааа, доцент оказался тупой :) Если коротко, чувак, у тебя тоже жопа :) Но в отличии от редхата, дебиан будет выпускать фикс недели три, не меньше. Пока всё согласуют, пока религиозные фанатеги-мейнтейнеры договорятся с роботами-раскладчиками :)

su -c "chmod -x /etc/rc.d/rc.samba" И никаких проблем.

По-моему, samba и в первую очередь, сам протокол smb - это одна большая дырка с мелкими костылями и мягкими подпорками.

> В этом диффе самое полезное - комментарий, всем советую сходить по ссылке :)

Комменты всегда рулят :).

По ссылке согласен с комментатором. Global variables still suck!

>Но в отличии от редхата, дебиан будет выпускать фикс недели три, не меньше. Пока всё согласуют, пока религиозные фанатеги-мейнтейнеры договорятся с роботами-раскладчиками :)

Вообще-то дебиан один из самыхз быстрореагирующих дистрибутивов. Кто-то тут недавно даже ссылку с часами приводил.

сходил по ссылке. Школьникам на контрольной чтоли дали написать тот кусок ?

>Вообще-то дебиан один из самыхз быстрореагирующих дистрибутивов. Кто-то тут недавно даже ссылку с часами приводил.

Таки да, тем более патч есть ;) Кстати, а где брать апдейты безопасности для дебиана?

По ссылке одно старье: http://security.debian.org/pool/updates/main/s/samba/?C=M;O=D

>Кстати, а где брать апдейты безопасности для дебиана?

Жду DSA в дебиановской рассылке.

Ну и где комментарии?

Поддержка виндотехнологий и безопасность вещи несовместимые :-)

Винда сама по себе огромная дырка.И говорить о мелких дырках, способных отдать управление твоим компом любой мрази,просто неэтично. Другое дело линукс .Любая мелкая неточность,даже будучи мгновенно испрвленой, приравнивается к смертному греху.

Дык вышла 3.0.30 с исправлением.

> По-моему, samba и в первую очередь, сам протокол smb - это одна большая дырка с мелкими костылями и мягкими подпорками.

По юзабилити - у SMB/CIFS нет аналогов. NFS, особенно v4, весьма сырой, ненадёжный и сложный (читай - хрен поднимешь и хрен настроишь, а настроишь, твои юзеры хрен разберутся).

Кому нравится - можете играться. Но вообще на существующем этапе развития сетей NFS не нужен.

самба не нужна. капча expixed.

> Но вообще на существующем этапе развития сетей NFS не нужен.

Это кому как. Представь, есть сети, в которых неи венды. Совсем. Так зачем, ты говоришь, нужен SMB?

Ну хотя бы чтоб по-директорийно шарить :)
А не весь /home/ гамузом :)
Чтобы шарить не на список хостов, а на всех кто прошёл authentication и authorization :)

Дай подумаю .... О! Для оррригинальности! :)

Смотрел фичерсет на NFS4p - много вкусного ... но блин пока ещё просто 4 дааалеко не все держат.

Многабукафниасилил...

"Заставить"...

Ну ПРЕДПОЛОЖИМ, что заставил. Терморектальным методом убеждения. (http://termorect.narod.ru/)

Ну "занавесил" nmbd...

Ну перестартовала nmbd автоматом с прежними параметрами... Задержка с минуту...

И ЧТО?

Samba, открытая в Интернет, конечно, щекочет нервы, но для предприятия не годится. К тому же плох тот сисадмин, у которого не предусмотрена ситуация "падения" сервера.

Хотя, конечно, приятно, что дырку нашли и устранили. Честь и хвала работникам-подрывникам!

>Но вообще на существующем этапе развития сетей NFS не нужен.

ну такому горе-рыбаку как ты - понятно

> #dpkg -l | grep samba > samba 3.0.24-6etch9 > идите курить

http://secunia.com/advisories/30228/ The vulnerability is confirmed in versions 3.0.28a and 3.0.29. Prior versions may also be affected.

Ну покури, покури

ЗЫ. Вот щас с флешем весело будет =)

>Ну хотя бы чтоб по-директорийно шарить :)

> А не весь /home/ гамузом :)

AFAIK, линуксовый NFS позволяет экспортировать любой каталог.

> Чтобы шарить не на список хостов, а на всех кто прошёл authentication и authorization :)

Настроить права доступа, и всё.

> Дай подумаю .... О! Для оррригинальности! :)

Ну это да... заставить Unix-системы общаться между собой на сетевом протоколе времен DOS с добавленными Unix-расширениями - это и правда оригинально.

>По юзабилити - у SMB/CIFS нет аналогов. NFS, особенно v4, весьма сырой, ненадёжный и сложный (читай - хрен поднимешь и хрен настроишь, а настроишь, твои юзеры хрен разберутся).

То, что некоторые не могут осилить нормальную настройку nfs, говорит лишь о недоразвитости этих самых некоторых, а никак не о ненадёжности и сложности nfs.

>Кому нравится - можете играться. Но вообще на существующем этапе развития сетей NFS не нужен.

На текущем этапе развития человечества не нужны идиоты вроде тебя. Кому не нравится - можете отправляться в биореактор.

А о баге разрабам Samba сообщили ещё 15 мая, а они начали шевилиться, когда только инфа появилась в открытом виде, браво Samba рулит и отмазаться уже не получиться, спеки на это smb-говно открыли, все на NFSv4 и да умрёт Винда в огонии со своими недопротоколами...:-D

>> Чтобы шарить не на список хостов, а на всех кто прошёл authentication и authorization :)

> Настроить права доступа, и всё.

Ты в курсе, что я могу загрузиться с лайв сиди, сделать себе люой uid удаленно и поиметь любые данные с NFS с "настроенными правами", т.к. вся авторизация в NFS заключается в проверке IP и числа-UID, которое можно удаленно сделать любым.

>>> Чтобы шарить не на список хостов, а на всех кто прошёл authentication и authorization :)
>> Настроить права доступа, и всё.

>Ты в курсе, что я могу загрузиться с лайв сиди, сделать себе люой uid удаленно и поиметь любые данные с NFS с "настроенными правами", т.к. вся авторизация в NFS заключается в проверке IP и числа-UID, которое можно удаленно сделать любым.

Я думаю - он в курсе :) Да и починили это в 4-ой версии (ну и можно попрыгать по грабелькам привинчивая пам а тройке).
К сожалению юниксоиды всего мира не навалились на шлифовку NFSv4 реализации позабыв о сне и секЪсе :) Вот когда оно гладко заработает на всем мажорном юникс-лике (ок - хотябы на открытых) - тогда во многих конторах админы скажут: "Большое человеческое спасибо проекту Samba! Прощайте." :)

Когда говорите NFS, указывайте версию, в 4-ой версии используется аунтификация через Kerberos, подделайте его билет, хакир Вы наш...;)

Бугога

>>> Чтобы шарить не на список хостов, а на всех кто прошёл authentication и authorization :)

>> Настроить права доступа, и всё.

> Ты в курсе, что я могу загрузиться с лайв сиди, сделать себе люой uid удаленно и поиметь любые данные с NFS с "настроенными правами"

Да, я в курсе. Те, кому нужна безопасность, используют другие схемы аутентификации (не UNIX), или перешли на NFS4.

Странно, что ты не беспокоишься об отсуствии шифрования передаваемых данных. Может, это потому, что в CIFS они тоже не шифруются?

>Wed May 28 19:48:34 CDT 2008

>n/samba-3.0.30-i486-1.tgz: > Upgraded to samba-3.0.30.

> This is a security release in order to address CVE-2008-1105 >("Boundary

> failure when parsing SMB responses can result in a buffer >overrun").

> For more information on the security issue, see:

> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1105

> (* Security fix *)

Слава Патрику.

А разве в NFSv4 не поддерживается шифрование??:-\