URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 112803
[ Назад ]
Исходное сообщение
"Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением  уязви..."
Отправлено opennews , 21-Ноя-17 16:32 
Опубликованы (https://www.mail-archive.com/samba-announce@lists.samba...) корректирующие выпуски Samba 4.7.3, 4.6.11 и 4.5.15 (https://www.samba.org/), в которых устранены две уязвимости:


-  CVE-2017-14746 (https://www.samba.org/samba/security/CVE-2017-14746.html) - уязвимость, вызванная обращением к уже освобождённому блоку памяти, позволяет получить контроль за содержимым кучи через манипуляции с находящимся в освобождаемой области указателем. Через отправку специально оформленного запроса SMB1 атакующие потенциально могут выполнить код на сервере. В качестве обходного пути защиты рекомендуется запретить использование протокола SMB1, добавив в настройки "server min protocol = SMB2". Проблема проявляется во всех выпусках, начиная с Samba 4.0;

-  CVE-2017-15275 (https://www.samba.org/samba/security/CVE-2017-15275.html) - отсутствие очистки памяти перед применением структур данных может привести к утечке содержимого памяти серверного процесса (например, хэшей паролей и данных, используемых в обработке предыдущего запроса) в составе отправляемых клиенту ответов. Проблема проявляется начиная с выпуска Samba 3.6.


URL: https://www.mail-archive.com/samba-announce@lists.samba...
Новость: http://www.opennet.me/opennews/art.shtml?num=47600

Содержание
Сообщения в этом обсуждении
"Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением  уязви..."
Отправлено Аноним , 21-Ноя-17 16:32 
Я бы на их месте сделал SMB1 выключенным по дефолту и позволил включать вручную. Уж слишком часто в нём обнаруживаются дырки.
"Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением  уязви..."
Отправлено Stax , 21-Ноя-17 21:03 
Не хотят, чтобы отвалилась шара на всех системах с XP. Третья в мире по популярности ОС, однако (популярнее только Win 10 и Win 7).
"Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением  уязви..."
Отправлено Аноним , 22-Ноя-17 00:53 
> Не хотят, чтобы отвалилась шара на всех системах с XP. Третья в
> мире по популярности ОС, однако (популярнее только Win 10 и Win 7).

А MINIX?


"Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением  уязви..."
Отправлено key , 22-Ноя-17 03:18 
Если список зондов ведете, то дройд еще самый популярный.
А если ОС, то бубунту самая популярная.
"Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением  уязви..."
Отправлено Stax , 22-Ноя-17 17:32 
Имелось ввиду - среди ОС общего пользования на десктопах.

Нет, MINIX сюда не относится. И даже не настолько уж популярна - это же только на на Skylake и более поздних процессорах.

"Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением  уязви..."
Отправлено MPEG LA , 21-Ноя-17 19:49 
>уязвимость, вызванная обращением к уже освобождённому блоку памяти
>отсутствие очистки памяти перед применением

enjoy your c/c++
они там на Go/Rust/D не планируют еще переписаться?

"Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением  уязви..."
Отправлено qwe , 22-Ноя-17 00:43 
Страуструп не одобряет!
"Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением  уязви..."
Отправлено key , 22-Ноя-17 03:22 
enjoy RAII и unique_ptr
они там на C++14 не собираются переписать?
"Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением  уязви..."
Отправлено анон , 22-Ноя-17 13:22 
лужа пузырится норм. где в патче с обнулением ид, во избежание повторного использования, отроком предлагается использовать raii? Чем ему поможет с++14?