Linux 2.x smbfs remote vulnerabilities

саныч, надоел!

дык не Саныч дырявый код пишет =)

>дык не Саныч дырявый код пишет =)

гыгы...А ты откуда знаешь что Саныч не дырявый код пишет?

Хорош издеваться над санычем в което веки он запостиль новость не про BSD, радоваться должны.

> Хорош издеваться над санычем в което веки он запостиль новость не про BSD, радоваться должны.

и громко хлопать в ладоши. :))))

Таким новостям не нарадуешься :( А на 2.6 -ac не помогает? Там есть какой-то фикс утечек памяти в smbfs...

ну вот. знаки препинывания расставил не правильно, а еще модер. правильно будет так: "дык не! Саныч дырявый код пишет =)"

Дерьмовенько =(
У меня на 2.4.27 что-то pppd неадекватен =(
Хотел запостить, но даже описать немогу его безобразное поведение =)

Ссори, незаметил, уже 28 есть =)))))))
http://www.kernel.org/pub/linux/kernel/v2.4/linux-2.4.28.tar.gz
Примерим

Да, да. Всем срочно перейти на 2.4.28. Не зря его выпустили. :)

Блин, запарили. Тока запатчил самбу так нашли баг в ядре.

ЗЫ: Всем юзать CIFS :-)

Я с вас угораю, ребята. Нахрена переходить на 2.4.28? Не проще ли обновления от мэнтэйнера дистра получать?

В LKML smbfs уже давно пинают ногами.
Вот например кто-то вообще утверждает что там одни баги и
что работать она не может в принципе:
http://www.uwsg.iu.edu/hypermail/linux/kernel/0411.1/2019.html
Интересно, это правда или нет...

Пора OSDL вводить практику Mozilla - платить за найденные баги.

протокол просто очень галимый.
да и реализация оставляет делать лучшего.
одного не пойму нафиг такое совать в ядро ?
пусть живёт себе в юзерспейс...

cifs - этоже не подарок. у меня с ним после второго маунта ядро в паник обычно падало... хотя может уже поправили..

There exist two bugs in the handling of SMB responses that result
in remote kernel overflows. Due to the nature of the bugs both seem
to be very hard to exploit (in the sense of remote code execution
or local privilege escalation) but are trivial remote kernel crashes.

т.е. в случае этой уязвимости, нужно еще самому на злое@#$чий сервачек зайти :)

Чет я нихрена не понял...

To exploit any of these vulnerabilities an attacker needs control over the answers of the connected smb server. This could be achieved by man in the middle attacks or by taking over the smb server with f.e. the recently disclosed vulnerability in Samba 3.x

Типа, нужно вмешиться в обмен данными м/ду сервером и клиентом по смб?

>Я с вас угораю, ребята. Нахрена переходить на 2.4.28? Не проще ли обновления от мэнтэйнера дистра получать?

Вы давно с винды слезли?

>Не проще ли обновления от мэнтэйнера дистра получать?
Мы пользуем www.kernel.org

мэнтейнер на больничном

> В LKML smbfs уже давно пинают ногами. Вот например кто-то вообще утверждает что там одни баги и что работать она не может в принципе...

Ребята, зато оно ЕСТЬ!!! Надо пойти в какой-нибудь соседний топик про BSD и сказать "ффии! какой отстой! у вас smbfs нету!!" и преисполниться пониманием крутости Линукса. Это типа рецепт :)

оно же и диагноз

> Вы давно с винды слезли?

Ага, лет 5 как :)

Юзаю Fedora & RHEL & SLES. Получаю заплатки по мере их появления _автоматически_. Нахрена качать и самому собирать ядро с kernel.org???

>Ребята, зато оно ЕСТЬ!!! Надо пойти в какой-нибудь соседний топик про BSD и сказать "ффии! какой отстой! у вас smbfs нету!!" и преисполниться пониманием крутости Линукса. Это типа рецепт :)

Ты гониш (С). Есть оно у нас.

http://www.freebsd.org/cgi/man.cgi?query=mount_smbfs

>Я с вас угораю, ребята. Нахрена переходить на 2.4.28? Не проще ли обновления от мэнтэйнера дистра получать?

Вы давно с винды слезли?

anonymous (*) (18.11.2004 19:17:50)

А не приходило в голову, что под виндой оно лучше, чем под системой, где чтобы использовать acl еще попрыгать надо?

> Ты гониш (С). Есть оно у нас.

У вас есть, у нас нету. OpenBSD&NetBSD user.