URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 111741
[ Назад ]
Исходное сообщение
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено opennews , 16-Июл-17 00:00 
В пакете Heimdal Kerberos (https://www.h5l.org/advisories.html?show=2017-07-11) и реализации протокола Kerberos, поставляемой в Samba (http://www.mail-archive.com/samba-announce@lists.samba....), выявлена уязвимость (https://orpheus-lyre.info/) (CVE-2017-11103 (https://security-tracker.debian.org/tracker/CVE-2017-11103)), позволяющая атакующему притвориться заслуживающим доверия сервисом через организацию MITM-атаки.  Уязвимость присвоен критический уровень опасности. В контексте Samba уязвимость позволяет через MITM-атаку имитировать для клиента заслуживающие доверия файловые серверы SMB/CIFS, серверы печати или серверы авторизации.


Проблема вызвана некорректной организацией проверки имени сервиса KDC-REP (https://web.mit.edu/kerberos/www/krb5-latest/doc/appdev/refs...) (Key Distribution Center) при аутентификации доступа клиента к сервису через систему билетов (tickets). Суть проблемы в том, что извлечение имени сервиса  KDC-REP производилось из незашифрованного и неаутентифицированнго билета (ticket), в то время как спецификация Kerberos 5 требует извлекать имя сервиса только из зашифрованного и аутентифицированного ответа ('enc_part'). Передача имени сервиса без шифрования позволяет атакующему, имеющему возможность вклиниться в транзитный трафик,  выдать себя за заслуживающий доверия сервис.

Проблема присутствует с первых версий Heimdal Kerberos, выпущенных в 1996 году, и устранена в  Heimdal Kerberos 7.4.0 (https://www.h5l.org), а также в выпусках Samba 4.6.6, 4.5.12, 4.4.15 (в Samba 4 встроен Heimdal). Уязвимость также затрагивает (https://support.microsoft.com/en-us/help/4022746/security-up...) системы Microsoft на базе Active Directory, например, Windows Server 2008.


MIT Kerberos (https://web.mit.edu/kerberos/)  проблеме не подвержен, как не подвержены проблеме и исполняемые файлы Samba, собранные с MIT Kerberos.


Уязвимость уже устранена во FreeBSD (https://www.freebsd.org/security/advisories/FreeBSD-SA-17:05...), Debian (https://www.debian.org/security/2017/dsa-3909), Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1469998)  и Ubuntu (https://www.ubuntu.com/usn/usn-3353-2/).   Дистрибутивы SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-11103) и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-11103) проблеме не подвержены (неофициальный heimdal из EPEL (https://bodhi.fedoraproject.org/updates/?packages=heimdal) уязвим), так как используют MIT Kerberos, а не Heimdal  Kerberos.


URL: https://www.us-cert.gov/ncas/current-activity/2017/07/12/Sam...
Новость: http://www.opennet.me/opennews/art.shtml?num=46859

Содержание
Сообщения в этом обсуждении
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Аноним , 16-Июл-17 00:00 
Этот SMB/CIFS уже давным-давно следовало закoпать и забeтонировать, чтоб не выбралось.
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено яя , 16-Июл-17 00:30 
Альтернативы?
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Скотыняка , 16-Июл-17 00:35 
NFS либо распределенные сетевые FS
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Анан , 16-Июл-17 00:56 
То есть, либо не работает, либо требует 100500 ресурсов. Кто-то, либо траллирует, либо не разбирается.
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Скотыняка , 16-Июл-17 02:11 
Га-га-га
Это NFS-то не работает?
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Аноним , 16-Июл-17 07:46 
простите - а давно pNFS поддерживается везде?
А в остальном маркиза - вы упираетесь в проблему 100500 клиентов через одно горлышко сетевого интерфейса сервера и горлышко одного диска подключенного к серверу.

А в остальном прекрасная маркиза.. все хорошо.. все хорошо.

"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено нех , 16-Июл-17 09:46 
Чегой-то ты анонимом стал подписываться? Думал, не узнает никто?
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Аноним , 22-Июл-17 23:09 
Зачетно распарсил.
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Аноним , 16-Июл-17 11:37 
А давно smb стало аналогом pnfs?
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Admino , 18-Июл-17 02:42 
> NFS

Это та штука, которая подвешивает клиента напрочь при потере связи с сервером?

"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено iZEN , 18-Июл-17 11:01 
Это на линуксах она так работает? Чините консерваторию.
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено ыы , 18-Июл-17 21:16 
и на чпуксах тоже подвешивает. крайне нестабильная и ненадежная штука.
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Аноним , 22-Июл-17 23:12 
> и на чпуксах тоже подвешивает. крайне нестабильная и ненадежная штука.

Новые клоун на форуме? Расскажи, как ты делаешь из неё нестабильную и не надежную - use case в студию с окружением, примером строки монтирования и конкретной ошибкой.

"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Аноним , 16-Июл-17 01:17 
> NFS

Шило на мыло. :(

"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено пох , 16-Июл-17 09:39 
о, да, йа-йа - вместо ужасной самбы в которой, ну надо же, можно подменить сервер (очень теоретически и в насквозь дырявой сети), давайте пользоваться nfs, которая в штатных конфигурациях не то что сервер - клиентов-то авторизовать не умеет (и при этом - complete trusts удаленной системе)

Единственное (кривое и страшное как смерть от поноса) решение.... тадам - Kerberos!

(complete trust, разумеется, никуда не девается, ну хоть авторизация не по ip)

"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Аноним , 17-Июл-17 09:46 
MS не пишет клиент под NFS, а опенсорс сообщество так и не написало клиент для винды. Наверно потому что NFS никому не нужен.
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено _ , 17-Июл-17 18:18 
Всё как обычно! Ванузятнеги не знают свой зонт :)
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Stax , 17-Июл-17 18:36 
Почему? Вполне себе пишет. Временами исправляет баги и увеличивает производительность (в 7-ке лучше, чем в XP+SFU, в 8-ке еще лучше). Но начиная с 8-ки доступен исключительно в enterprise-версии (может еще в какой-то близкой к enterprise), в home/pro - фиг с маслом, а не NFS-клиент.

NFS нужен, к примеру, если требуется хорошая производительность - 1 гбит вообще без твиков (самба не всегда), 10 гигабит с минимальными твиками. Есть и другие причины использовать. Но в целом да, нужен он не очень часто по той причине, что если нагрузка маленькая, то интероперабельность хуже, чем у самбы, а если большая - NFS не получается нормально кластеризовать, pNFS существует где-то в вакууме или за большие деньги, или полу-работающий и при этом решает в первую очередь проблемы производительности, а не отказоустойчивости.

"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Ph0zzy , 16-Июл-17 07:35 
webdav?
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Ivan_83 , 16-Июл-17 20:09 
Ни клиентов ни серверов для него нормальных нет.
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Аноним , 17-Июл-17 09:46 
> Ни клиентов ни серверов для него нормальных нет.

Пробовали. Работает очень не стабильно в винде.

"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено KBAKEP , 18-Июл-17 22:19 
AFS?
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Аноним , 16-Июл-17 10:58 
Причем тут smb/cifs? В маздае та же уязвимость.
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено Аноним , 22-Июл-17 23:14 
> Причем тут smb/cifs? В маздае та же уязвимость.

Другая. Смотри CVE.

"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено 123 , 16-Июл-17 16:49 
Дырка в kerberos. И если у тебя самба / KDC смотрит наружу - ты сам себе злобный буратино. MITM атаки в локалке? Ну и винды уже с 2008 сервера есть намного более защищенные протоколы. Их конечно выключают.. но виновата MS конечно.
"Уязвимость в Heimdal Kerberos, затрагивающая Samba 4"
Отправлено ананим.orig , 17-Июл-17 12:19 
> Ну и винды уже с 2008 сервера есть намного более защищенные протоколы

И тут должен идти "например".
Типа "тикет можно получить так ..."

"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 16-Июл-17 01:08 
Надо еще в IPX стеке уязвимости поискать. А то мало ли может быть NetWare кто-то юзает до сих пор.
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 16-Июл-17 01:18 
> Надо еще в IPX стеке уязвимости поискать. А то мало ли может
> быть NetWare кто-то юзает до сих пор.

Конечно юзают, но не афишируют во избежание всяких кулхацкеров.

"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 16-Июл-17 09:32 
IPX'у внешние атаки кулхацкеров не страшны, ибо через общественные сети он не распространяется.
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 22-Июл-17 23:15 
> IPX'у внешние атаки кулхацкеров не страшны, ибо через общественные сети он не
> распространяется.

Кулхацкеры обычно уже внутри сетей.

"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 16-Июл-17 02:37 
Получается мелкософт стырили код у Heimdal Kerberos?
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено zanswer CCNA RS and S , 16-Июл-17 07:53 
В новости написано, что Microsoft повторила поведение работы протокола, то есть они использовали реализацию Heimdal, как референсную, при реализации своего Kerberos сервера.
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 16-Июл-17 09:34 
Референсная реализация — это та, в которой нажимают Ctrl+C?
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено ананим.orig , 17-Июл-17 12:21 
Не-не!
Главное — там нажимают Ctrl-V.
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено _ , 17-Июл-17 23:38 
>Референсная реализация — это та, в которой нажимают Ctrl+C?

У этих диких людей жмут Ctrl+Ins :)

"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 16-Июл-17 09:34 
Знаем, как они "референсно" у бздунов стек TCP/IP использовали ;)
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Hellraiser , 16-Июл-17 10:38 
+1
мелкософт спалился на одинаковой уязвимости
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 16-Июл-17 03:07 
Ещё вчера обновы для Ubuntu пришли, а вообще Samba это зло, но увы, это зависимость VLC, и без неё IPTV не посмотришь.
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 16-Июл-17 07:52 
Чего? Зачем IPTV самба вообще? Это для шаринга видео с других устройств, а не IPTV. Собери VLC без libsmb и всё нормально работает. По крайней мере я пересобрал MPV, всё работает.
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 16-Июл-17 09:38 
Чего человека минусуете? Нынешние "линуксоиды"-убунтоиды не умеют проги из исходников собирать?
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено пох , 16-Июл-17 09:41 
> Чего человека минусуете? Нынешние "линуксоиды"-убунтоиды не умеют проги из исходников
> собирать?

ждут ебилдов.

"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Ебилд Гентович , 16-Июл-17 10:19 
А что нам ждать, мы давно тут. Флаги правильные давайте и будет вам счастье. Мы же не Убунтовичи, с ними пока соберёшь - облысеешь.
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 16-Июл-17 13:42 
> Чего человека минусуете? Нынешние "линуксоиды"-убунтоиды не умеют проги из исходников
> собирать?

Нынешние "линуксоиды" не умеют даже темы с обоями кастомизировать, для смены ВМ, на полном серьезе дистрибутив меняют, все что не похоже на максималочку "красноглaзым за*ротсвом" называют, главными критериями качества и удобства пользования свистелки и перделки в установщике и подобранные дефолты считают - чтобы "Устанавливать как в современных ОС! Установил и сразу работать можно было! Копии ~/.config, /home, перенос ОС и настроек с помощью копирования? Нет, не слышали, врети вы наверное все!".
А вы про сборку из исходников завернули.


"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено лютый жабист__ , 16-Июл-17 13:49 
Чем мешает клиент самбы? А вот всю жизнь потом руками пересобирать пакет - это красноглaзие
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 16-Июл-17 15:51 
> Чем мешает клиент самбы?

Своим присутствием в системе. Я самбой не пользовался никогда и пользоваться не собираюсь, а требует её только MPV.

> А вот всю жизнь потом руками пересобирать пакет - это красноглaзие

Об автоматической пересборке не слышал? Есть даже в Debian, есть-пить не просит. На моём (не самом свежем) железе 2007 года собирает за пару минут. К тому же обновления на стабилке прилетают не так уж часто. Раз в полгода пересобрать пакет наверное не оторвутся руки?

Ну и потом, у меня есть пара самописных софтин, для которых я тоже собираю пакеты, почему бы и нет? И ещё несколько пакетов пересобирал с патчами, потому что их нигде нет, патчи мои, писались для себя, навряд ли кому-то ещё нужны, а уж в апстрим их точно принимать никогда не будут.

"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 22-Июл-17 23:18 
Т.е. этот ваш линукс можно использовать только после обработки напильником, т.е. копилятором?
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 16-Июл-17 07:54 
Ну так соберите VLC без Samba и смотрите сколько влезет. Выросло поколение…
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 22-Июл-17 23:18 
> Ну так соберите VLC без Samba и смотрите сколько влезет. Выросло поколение…

Что ещё без чего надо пересобрать перед тем как смотреть сколько влезет?
Весь список сразу, пожалуйста.

"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено ананим.orig , 16-Июл-17 13:12 
> Дистрибутивы SUSE и RHEL проблеме не подвержены (неофициальный heimdal из EPEL уязвим), так как используют MIT Kerberos, а не Heimdal Kerberos.

Ну там в сборках самбы просто нет домена АД вообще и цербера в частности, так что конечно не подвержены.

Зыж
Про мастдай улыбнуло.
Теперь можно тыкать этой новостью, утверждая что это мс создает ад на основе самбы, а не наоборот.
Хотя,.. это логично и практично в общем то.

"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено ананим.orig , 16-Июл-17 19:31 
Ззыж
Да, цербер в макоси тоже на хеймдале.
Сговор рептилоидов? :)
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено 123 , 16-Июл-17 19:43 
Сколько лет на маке нормально его завести не удавалось. С каждым апдейтом отлетает нафиг.
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено ананим.orig , 16-Июл-17 20:26 
Сервер?
Вроде там всё норм.
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 17-Июл-17 07:33 
У вас там ад на макоси? Да это просто охренительно, обязательно почитаю на эту тему!
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 17-Июл-17 09:34 
Она сама по себе ­— ад.
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Led , 17-Июл-17 22:47 
> Она сама по себе ­— ад.

Не путайте Ад с Содомом.

"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Michael Shigorin , 12-Авг-17 21:02 
>> Дистрибутивы SUSE и RHEL проблеме не подвержены (неофициальный heimdal из EPEL уязвим),
>> так как используют MIT Kerberos, а не Heimdal Kerberos.
> Ну там в сборках самбы просто нет домена АД вообще и цербера в частности,
> так что конечно не подвержены.

Хозяйке на заметку: http://altlinux.org/SambaDC (есть в http://altlinux.org/starterkits/server под галочкой).

"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 16-Июл-17 18:56 
Кто хочет посмотреть подробнее предметную область samba, Heimdal Kerberos, MIT Kerberos  есть отличный доклад Александра Боковового:
http://0x1.tv/Планы_развития_Samba_—_upstream_и_downstream_(Александр_Боковой,_OSSDEVCONF-2015)
или
https://vimeo.com/134560237

непосредственно про samba, Heimdal Kerberos, MIT Kerberos описание будет с 31 минуты.

"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено ананим.orig , 16-Июл-17 19:34 
Спасибо, интересно.
Не зря значит ещё тут коменты просматриваю.
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Michael Shigorin , 12-Авг-17 21:08 
>> http://0x1.tv/Планы_развития_Samba_—_upstream_и_downstream_(Александр_Боковой,_OSSDEVCONF-2015)
> Спасибо, интересно.

В этом году будет 22--24 сентября, приезжайте в Калугу: https://www.basealt.ru/about/14-conf-kaluga/ ;-)  Не знаю, будет ли там ab@ с учётом того, что недавно он приезжал в Минск, судя по talks@lvee -- но обычно интересных людей и тем хватает.

"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено 123 , 16-Июл-17 19:56 
Ну толстый сильно привирает  -  SMB была разработана  как раз таки майками и ibm. И первая ее реализация нормальная как раз таки была в windows for worgroups и полуоси.
"Критическая уязвимость в Heimdal Kerberos, затрагивающая Sam..."
Отправлено Аноним , 17-Июл-17 17:23 
+15 за вброс
гугли "nbserver 1.5"