LINUX.ORG.RU

Обновились все версии Samba в связи с уязвимостью Badlock

 badlock, ,


2

1

Сегодня, в День космонавтики, была опубликована очередная «именная» уязвимость BadLock. Она затрагивает как все версии Microsoft Windows, так и все версии Samba.

Уязвимость CVE-2016-2118 позволяет перехватывать и видоизменять DCERPC-трафик между клиентом и сервером и получать доступ к Security Account Manager Database, предоставляя доступ ко всем паролям и другой приватной информации на сервере.

В связи с высокой степенью опасности настоятельно рекомендуется обновить Samba до версий 4.4.2, 4.3.8 или 4.2.11. Для более старых версий Samba доступны патчи.

>>> Samba 4.4.2, 4.3.8 and 4.2.11 Security Releases Available for Download

★★★★★

Последнее исправление: AP (всего исправлений: 3)

Сегодня, в день Космонавтики

Очень важное уточнение, как же мы без Дня Космонавтики то

MicroSoft

Microsoft

Получается, что уязвимость в самом протоколе были или что? Как могли одновременно быть уязвимы закрытая и открытая реализации?

ostin ★★★★★
()
Ответ на: комментарий от ostin

Получается, что уязвимость в самом протоколе

Да, об этом с самого начала сказали.

kirk_johnson ★☆
()
Ответ на: комментарий от ostin

По ссылкам не ходим, сразу коментим!

BaT ★★★★★
() автор топика

Badlock was discovered by Stefan Metzmacher. He's a member of the international Samba Core Team and works at SerNet on Samba.

Молодцы. Приятно слышать, что именно они нашли.

suiseiseki_desu
()
12 April 2016

Samba 4.4.2, 4.3.8 and 4.2.11 Security Releases Available
for Download
...
Affected Versions: 3.6.x, 4.0.x, 4.1.x, 4.2.0-4.2.9,
4.3.0-4.3.6, 4.4.0 (earlier versions have not been assessed)

На 3.6, типа. совсем забили?

KOHb-TPOJIJIbJIEP
()
Ответ на: комментарий от KOHb-TPOJIJIbJIEP

На 3.6, типа. совсем забили?

Лежит там на 3.6.25 патч.

LynxChaus
()
Ответ на: комментарий от KOHb-TPOJIJIbJIEP

Читаем заголовки только? Про патчи отдельно написано. Впрочем, 3.6, как 4.0 и 4.1 давно уже на свалке истории.

BaT ★★★★★
() автор топика
Ответ на: комментарий от ostin

Очень важное уточнение, как же мы без Дня Космонавтики то

лишь бы пернуть? пузырики полетели )

v9lij ★★★★★
()
Ответ на: комментарий от BaT

Читаем заголовки только?

Я только в анонс на samba.org заглянул — 3.6 там среди исправленных не упомянута. Но то, что патч есть — не может не радовать. Надеюсь, в порты попадёт?

Впрочем, 3.6, как 4.0 и 4.1 давно уже на свалке истории

$ pkg info -Ex samba
samba36-3.6.25_3

Так вот оказывается где эта самая свалка истории...

KOHb-TPOJIJIbJIEP
()
Ответ на: комментарий от KOHb-TPOJIJIbJIEP

в PuppyLinux Trusty даже команды pkg нет...

atsym ★★★★★
()

А у apple же своя реализация smb.

Там как?

anonymous
()
Ответ на: комментарий от Chaser_Andrey

Как так какая? Вот сидели себе в Microsoft и в ус не дули, а тут приходит разаботчик опенсорс и находит упитанную багу.

suiseiseki_desu
()

Ну хоть так, хоть в день космонавтики... обновляюсь.

weare ★★
()
Ответ на: комментарий от Myau

висят. как-то благодарности команде samba они закопали глубоко.

samy_volosaty ★★★★★
()
Ответ на: комментарий от samy_volosaty

В embedded варианте ХР вроде ещё поддерживают.

greenman ★★★★★
()
Ответ на: комментарий от samy_volosaty

Найдется васян, который наваяет патч... и оставит лазейку для себя:)

yars068 ★★★★
()

ок. танцуем дальше.

gray ★★★★★
()

Я вот из описания немного испугался. Там написано, что добавили опции ЗАПРЕТИТЬ DCERPC. Это что получается, что дыра настолько фундаментальна, что этот механизм или выключить надо или у нас дыра? А как МС вылечил это в своем исправлении? Или есть другой механизм?

dmxrand
()

О, только сегодня прикрыл у себя самбу и поднял фтп :)

kas501 ★★★
()

Это получается применяем уязвимость на ADC и здравствуй доменная админка

Suicide_inc ★★
()
Ответ на: комментарий от KOHb-TPOJIJIbJIEP

Там огромный tar.bz2, в прниципе, если наложится нормально - попадет. Но там еще в порте уже кто-то прописал:

DEPRECATED= not supported by the upstream
EXPIRATION_DATE= 2016-04-01

BaT ★★★★★
() автор топика
Ответ на: комментарий от KOHb-TPOJIJIbJIEP

root@freebsd10:/usr/ports/net/samba36# make
===> NOTICE:

This port is deprecated; you may wish to reconsider installing it:

not supported by the upstream.

It is scheduled to be removed on or after 2016-04-01.

===> samba36-3.6.25_3 has known vulnerabilities:
samba36-3.6.25_3 is vulnerable:
samba — multiple vulnerabilities
CVE: CVE-2016-2118
CVE: CVE-2016-2115
CVE: CVE-2016-2114
CVE: CVE-2016-2113
CVE: CVE-2016-2112
CVE: CVE-2016-2111
CVE: CVE-2016-2110
CVE: CVE-2015-5370
WWW: https://vuxml.FreeBSD.org/freebsd/a636fc26-00d9-11e6-b704-000c292e4fd8.html

BaT ★★★★★
() автор топика

Engineers at Microsoft and the Samba Team worked together during the past months to get this problem fixed

корпорация добра

MyTrooName ★★★★★
()
Ответ на: комментарий от dmxrand

В генте запилили стэйбл 4.2.11, но что-то ни в ньюсах, ни в glsa нет инфы про эту багу.

contractor
()
Ответ на: комментарий от MozillaFirefox

Да мне кажется, что тут видимо проблема в логике

dmxrand
()

Епик! Как всегда в стиле микрософт.

Ygor ★★★★★
()
Последнее исправление: Ygor (всего исправлений: 1)
Ответ на: комментарий от anonymous

А что собственно говоря кто-то сомневался, что Samba это решето?

Решето - это протокол smb, который проектировался очень умными людьми в очень крутой коммерческой компании.

andreyu ★★★★★
()
Ответ на: комментарий от samy_volosaty

А вот и пруф подвернулся:

На WinXP (POS edition) сегодня тоже прилетело

greenman ★★★★★
()
Ответ на: комментарий от r_asian

Да, все пользуются. Сравнение с NFS смешны просто.

С не давних пор Apple выкинули свой протокол AFP в пользу SMB

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)

Два обновления самбы за вчера два раза эту самбу ломали у меня.

Спасибо мейнтейнерам и разработчикам за веселый день. =\

Radjah ★★★★★
()
Ответ на: комментарий от AlexVR

Поддерживаю. Почему бы не допустить, что это старый бекдор, случайно обнаруженный.

Vinni_Pooh ★★★★★
()

Samba 4.3.8 19 апреля: deadline

в ADS отвалился sysvol после обновления с 4.1.6 до 4.3.8 Чем ни пытался его поднять, поднял релиз до 16 xenial, обновил все что можно было обновить. AD работает. SYSVOL (со всеми приложенными) - нет.

Ну разве так можно?!...

Как правильно из исходников собрать 4.4.2 для debian-ubuntu, чтобы припаять к нему все зависимости? Что вообще нужно 4.4.2 самбе в зависимостях чтобы работали шары?

Ни одна из шар не пашет, я в печали.

nicolas_ukt40
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.