URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 97418
[ Назад ]

Исходное сообщение
"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."

Отправлено opennews , 02-Авг-14 02:28 
Представлены (http://permalink.gmane.org/gmane.network.samba.announce/319) корректирующие выпуски Samba 4.1.11 и 4.0.21 (http://www.samba.org/), в которых устранена уязвимость (http://www.samba.org/samba/security/CVE-2014-3560) (CVE-2014-3560), которая позволяет организовать удалённое выполнение кода злоумышленника с правами пользователя root. Проблема вызвана ошибкой в коде демона nmbd и проявляется только при использовании Samba в качестве сервера  имён NetBIOS (http://ru.wikipedia.org/wiki/NetBIOS). Атака может быть совершена без проведения аутентификации. В качестве запасного пути защиты рекомендуется не запускать процесс nmbd.

URL: http://permalink.gmane.org/gmane.network.samba.announce/319
Новость: http://www.opennet.me/opennews/art.shtml?num=40314


Содержание

Сообщения в этом обсуждении
"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено vitalif , 02-Авг-14 02:28 
Мда... а некоторые умудряются её на сервере включённой оставить...

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено _KUL , 02-Авг-14 03:54 
Самбу?

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 10:08 
На каком сервере, извините? Вы точно понимаете, о чем тут речь идет?

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено pavlinux , 03-Авг-14 23:54 
файло на виртуалках с вендами чем гонять?
Я знаю примерно 20 способов, самый быстрый вариант - самба.

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено vitalif , 05-Авг-14 22:14 
на каком-каком, публичном

поставит гореадмин дистр по умолчанию, а там самба...


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Ванга , 02-Авг-14 04:03 
Жаль NFS на винде неюзабельна

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Led , 02-Авг-14 04:42 
> Жаль NFS на винде неюзабельна

Всё верно: вы, вендузятники, должны страдать.


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Анонимный , 02-Авг-14 04:54 
Я не использую вантуз, но мои рабы в персонале офиса масдайщики

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Apple , 02-Авг-14 07:52 
Ахахах... рабы, это те, что по звонку директору награждают шваброй в добавок к клавиатуре?;)

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 08:55 
> Я не использую вантуз, но мои рабы в персонале офиса масдайщики

У вас какое-то BDSM-предприятие, или что?


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 21:37 
>> Я не использую вантуз, но мои рабы в персонале офиса масдайщики
> У вас какое-то BDSM-предприятие, или что?

макбук у него, а у остальных вантузные вёдра под столами, вот он и угорает со своих жалких терпил, у которых даже nfs нету


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 16:03 
> Жаль NFS на винде неюзабельна

Вот за что я не люблю фанбоев пингвинуса - противника не знают, но критиковать лезут.

Чувак! Открытие века - у Майкрософт есть UNIX-клиент! Сто лет в обед как есть! И там есть NFS-клиент! Сюрпризщ-сюрприз! Был еще со времен NT 4!


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Stax , 02-Авг-14 16:33 
И он неюзабелен.
UTF-8 или любую другую, совместимую с русскими буквами кодировку он не понимает. Соответственно, придется ограничить себя английскими буквами в именах файлов (и иероглифами. CJK-кодировки он понимает ;)

Проблемы с производительностью там подчас жуткие и на некоторых сетевых конфигурациях не решаются ничем. Иногда NFSEx может спасти, иногда не может ничего, скорость по гигабиту будет как по 100 мегабитам, а параметров для кручения нет (а виной всему криво реализованная работа виндового rpc..).

Наконец, чтобы неповадно было, MS его выпилила из всех версий винды, кроме серверной (2008/2012) и Ultimate/Enterprise (это в 7-ке; в 8-ке только Enterprise). В обычных Professional, которые обычно покупаются для офисных компов, работающих в домене его больше нет и способа установить не существует.


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено anonymus , 02-Авг-14 04:43 
А я в своё время злорадствовал, как так хвалёный MS Windows имеет дырявый netbios, который позволяет неавторизованное удалённое выполнение произвольного кода. Только MS его давно пофиксил, а в самбе висел он до сих пор. Может зря ругаем мелокомягких, у самих бревно в глазу есть?

P.S. Ну только вот не надо говорить, что протокол проклят.


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 08:51 
Проклят не протокол, а ущербна вся модель построения сети "от микрософт". Авторы Samba повторяют ее, и напарываются на похожие грабли. Достоинство Samba в том, что это открытая реализация, но не нужно забывать, что это открытая реализация изначально дерьмовых разработок от микрософт.

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено linux must _RIP__ , 02-Авг-14 09:25 
как это мешает писать код который должен контролировать выход за пределы массивов?

Кстати схема сети от NetBIOS - много лучше чем NFS в версии 3 и даже 4.0, 4.1 уже по приятнее, но...


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Адекват , 02-Авг-14 09:26 
> Проклят не протокол, а ущербна вся модель построения сети "от микрософт". Авторы
> Samba повторяют ее, и напарываются на похожие грабли. Достоинство Samba в
> том, что это открытая реализация, но не нужно забывать, что это
> открытая реализация изначально дерьмовых разработок от микрософт.

Самба это недоНетБиос, причем только его хороших качеств. Я все ждал-ждал, что в самбе можно будет убивать блокировку на отдельный файл отдельной netbios-сессии пользователя, но даже в самых последних релизах все равно - убивать блокировку можно на всю сессию целиком, это значит что если пользователь Иванов открыл файлы kassa.xlsx, detali.docx, spisok.doc, сам убежал куда-то, и нам срочно нужен для работы файл detali.docx, то мы не сможем прибить блокировку только на этот файл, если и сможем прибить блокировку то на все его открытые файлы, а сохранил он в них изменения или же после того как мы прибьем его блокировку - он потеряет труды своей работы за полдня - ХЗ !!.
В винде с этим все давно решено, а в линуксе видимо никто не задумывается.
Это было раз.
Два - это монтирование. Как "в винде" видимо не получиться сделать никогда, всмысле прозрачно и удобно - мы делаем в адресной строке браузера или файлового менеджера:
\\192.168.4.1 и получаем список шар, ну вы меня поняли, надеюсь.
Это то как работает самба/нетбиос в винде.
В линуксе же есть аж три способа получить доуступ до файлов на сервере:
1. smbclient - это когда в адресной строке вводим smb://192.168.4.1 и получаем список файлов и папок, типа как в винда, да фига там - если мы захотим что-то в файле поправить, мы сначала его должны будем скачать его себе, а потом уже править и потом обратно заливать.
Причем в ручную, этакое фтп, только самба.
2. mount -t cifs ... классный способ, только вот уж больно статичный, если на сервере расшарить еще одну папку - придется на ВСЕХ компах переписывать fstab, можно конечно автоматизировать через скрипты, но все равно как-то это....
Но самый главный ФАК этого способа - это то, что если вдруг между компом и сервером пропадет связь, когда шара будет смонтирована - то ядро потеряет точку монтирования и ему сорвет башню, скроее всего рабочую станцию придется перезагружать ресетом, отмонтировать шару не получиться, при попытке отмонтировать - ядро будет сыпать ошибками в консоль.
3. smbnetfs / fusesmb - классный проект, очень классный, делает почти как в винде - указываем ему папку, и говорим ФАС - вся сеть собрана в одной папке, в которой указаны папки с названиями рабочих групп, а в этих папках - папки с именми или ip компов, у которых что-то расшарено...ВСЕ очень круто, недостатки 1 и 2 отстутствуют, но есть свой один недостаток - эта хрень не всегда работает, то видны расшаренные ресурсы, то нет, и не понятно почему.
Ведь можно было бы сделать все как в винде и даже лучше, если не ядерным модулем, то хотя бы демоном, который не требовал бы никакой настройки, но при этом имел бы такую возможность, чтобы после запуска демона sambacln все монтировалось в каталог /net как в способе 3, и чтобы все работало стабильно.


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 10:09 
О, адепты микрософт слетелись, лол. Знаешь, почему в этих проектах нет того, чего хочешь ты? Потому что они обеспечивают временное обеспечение работы гетерогенной сети до тех пор, пока машины мигрируют на нормальные ОС.

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 10:36 
Ну ка, расскажи ка, как сделать в нормальной ОС, такой же удобный способ создания файловых шар?

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 11:36 
Какой - такой же? Ты же не про шару по smb, надеюсь, лол?

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено commiethebeastie , 02-Авг-14 14:32 
Файловые шары в офисе не нужны, иначе будут утечки данных.

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 16:04 
> Файловые шары в офисе не нужны, иначе будут утечки данных.

Да ты что? А ты в офисе-то работал, локалхост? Крупнее чем Рога и Копыта Инкорпорейтед?


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 21:41 
>> Файловые шары в офисе не нужны, иначе будут утечки данных.
> Да ты что? А ты в офисе-то работал, локалхост? Крупнее чем Рога
> и Копыта Инкорпорейтед?

Обратите внимание, дети, онанимный мудозвон из микрософта ставит своим убогим высерам плюсики, а всем остальным — минусики. Запомните его, дети, и больше не общайтесь с такими.


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено commiethebeastie , 04-Авг-14 08:10 
>> Файловые шары в офисе не нужны, иначе будут утечки данных.
> Да ты что? А ты в офисе-то работал, локалхост? Крупнее чем Рога
> и Копыта Инкорпорейтед?

Как раз в крупных конторах с файловами шарами геморой.


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 03-Авг-14 04:03 
Куда утечки то? :) Внутри офиса?
Утечки данных - это когда работник этого офиса посылает по эл. почте некий файл с некими данными. Или записывает этот файл на флешку. И выносит наружу.
А самбовые шары - это всего лишь удобный способ обмена файлами.

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено commiethebeastie , 04-Авг-14 08:11 
> Куда утечки то? :) Внутри офиса?
> Утечки данных - это когда работник этого офиса посылает по эл. почте
> некий файл с некими данными. Или записывает этот файл на флешку.
> И выносит наружу.
> А самбовые шары - это всего лишь удобный способ обмена файлами.

Файловая шара это удобный способ слить данные на незащищенный компьютер.


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Forth , 02-Авг-14 10:46 
Проблема открытых файлов и в сети Windows все равно остается проблемой, причем организационной. Если какая-то сволочь все время забывает закрыть общие рабочие документы, то так ему и надо.
net rpc file close на samba не помогает, кстати?
Дальше по тексту оптом:
Вы не умеете монтировать cifs, раз приходится перезагружать рабочие станции при отвале сервера. (Между прочим: Часто отваливается связь? Может пора что-то менять?)
Также cifs прекрасно работает с демоном автомонтирования, будет как раз то, что Вам так хочется в последнем абзаце.

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Etch , 02-Авг-14 11:19 
> (Между прочим: Часто отваливается связь? Может пора что-то менять?)

запретить перезагружать или выключать винды на ночь?

> Также cifs прекрасно работает с демоном автомонтирования, будет
> как раз то, что Вам так хочется в последнем абзаце.

Что за демон такой, умеющий сам определять появление сетевых ресурсов? Можно название и настройки?


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Forth , 02-Авг-14 12:20 
> запретить перезагружать или выключать винды на ночь?

Причем здесь рабочие станции? У вас проблемы с отмонтированием ресурсов при пропадании сервера или что?
> Что за демон такой, умеющий сам определять появление сетевых ресурсов? Можно название
> и настройки?

autofs, оно снабжено передачей параметров. Если туда приделать еще и скрипт обзора ресурсов, получите что хотели.
(У меня это работало на прошлой работе в 2011 году точно, если память не изменяет)


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 16:05 
>> запретить перезагружать или выключать винды на ночь?
> Причем здесь рабочие станции? У вас проблемы с отмонтированием ресурсов при пропадании
> сервера или что?
>> Что за демон такой, умеющий сам определять появление сетевых ресурсов? Можно название
>> и настройки?
> autofs, оно снабжено передачей параметров. Если туда приделать еще и скрипт обзора
> ресурсов, получите что хотели.
> (У меня это работало на прошлой работе в 2011 году точно, если
> память не изменяет)

Сейчас 2014й. Ты еще NIS+ вспомнил бы, лол.

У меня жена раньше девочкой была - знаешь такую фразу?


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Forth , 02-Авг-14 17:31 
> Сейчас 2014й. Ты еще NIS+ вспомнил бы, лол.

О боже, ЦЕЛЫХ ТРИ ГОДА. Мир перевернулся наверное.
Кстати, хорошая штука была. Когда ничего другого не было.


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Led , 02-Авг-14 20:47 
> У меня жена раньше девочкой была

А сейчас? мальчик?



"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено chinarulezzz , 02-Авг-14 21:57 
Видимо намекает что за три года стала женщиной. Это или у них за это время был секс, или она забеременела. Поздравим чувака, в любом случае! )

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Etch , 02-Авг-14 16:45 
>> запретить перезагружать или выключать винды на ночь?
> Причем здесь рабочие станции? У вас проблемы с отмонтированием ресурсов при пропадании
> сервера или что?

Вопрос был про отваливание связи. Проблем с отмонтированием не имею.

>> Что за демон такой, умеющий сам определять появление сетевых ресурсов? Можно название
>> и настройки?
> autofs, оно снабжено передачей параметров. Если туда приделать еще и скрипт обзора
> ресурсов, получите что хотели.
> (У меня это работало на прошлой работе в 2011 году точно, если
> память не изменяет)

Звучит не очень надёжно... Много ли было компов в сети и монтируемых ресурсов? Как часто скрипт делал обзор ресурсов? Он работал как демон или по крону? И зачем нужен autofs? - если всё-равно свой скрипт делает основную работу, то и монтировать/отмонтировать наверное сам сможет...


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Forth , 02-Авг-14 17:29 
> Вопрос был про отваливание связи. Проблем с отмонтированием не имею.

Тогда я совсем не понимаю что не так. У меня отваливание связи не приводило к проблемам.
> Звучит не очень надёжно...

Вам шашечки или ехать?
> Много ли было компов в сети и монтируемых
> ресурсов? Как часто скрипт делал обзор ресурсов? Он работал как демон
> или по крону? И зачем нужен autofs? - если всё-равно свой
> скрипт делает основную работу, то и монтировать/отмонтировать наверное сам сможет...

autofs сам новые шары не найдет, разве что ему прямой путь скажут при попытке открытия. А вам же обзор нужен или как?
Сможет, но зачем монтировать все, если лучше сделать точку монтирования, чтобы юзер видел что такая есть, а уже при попытке обращения в каталог autofs монтирует.
Вспомнить бы точно... Компьютеров на CentOS около 30. Windows машин столько же.



"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Etch , 03-Авг-14 04:05 
>> Вопрос был про отваливание связи. Проблем с отмонтированием не имею.
> Тогда я совсем не понимаю что не так. У меня отваливание связи
> не приводило к проблемам.

AFAIR, после восстановления связи cifs нужно перемонтировать...

>> Звучит не очень надёжно...
> Вам шашечки или ехать?

Мне-то как раз ехать. А то последний эксперимент по переводу одного компа с винды на линукс провалился как раз из-за того, что fusesmb переставал видеть компы в сети.

> autofs сам новые шары не найдет, разве что ему прямой путь скажут
> при попытке открытия. А вам же обзор нужен или как?
> Сможет, но зачем монтировать все, если лучше сделать точку монтирования, чтобы юзер
> видел что такая есть, а уже при попытке обращения в каталог
> autofs монтирует.
> Вспомнить бы точно... Компьютеров на CentOS около 30. Windows машин столько же.

Ок, а скриптиком не поделитесь?


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Forth , 03-Авг-14 15:01 
> AFAIR, после восстановления связи cifs нужно перемонтировать...

Стоит проверить, конечно, но я такого не помню.
> Мне-то как раз ехать. А то последний эксперимент по переводу одного компа
> с винды на линукс провалился как раз из-за того, что fusesmb
> переставал видеть компы в сети.

Не пользуйтесь fuse. Тем более есть же альтернативы!
> Ок, а скриптиком не поделитесь?

Там было все просто на баше с smbclient и прочими samba тулзами. Не сохранил при уходе.
Слепите сами по своим нуждам, я припоминаю, что времени ушло совсем немного.


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Etch , 04-Авг-14 08:53 
> Стоит проверить, конечно, но я такого не помню.

Проверил - действительно, перемонтирования не требует. То ли меня память подводит, то ли уже исправили.

> Не пользуйтесь fuse. Тем более есть же альтернативы!

Дело было в начале - середине 2000-ых, нормальных альтернатив тогда не нашлось. Стандартный способ, предлагаемый различными DE по дефолту не устраивает, т.к. не всеми программами поддерживается. Да и с остальными что-то не очень гладко - сейчас вот на свежем Mint+Mate мне gedit стабильно выдаёт ошибку при попытке просмотра сети из диалога открытия файла...

При следующем удобном случае попробую повторить эксперимент с вашим способом через autofs. Спасибо за наводку.


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 12:04 
Это, вообще-то не к Самбе претензии, а к "оболочкам", но таки да - необходимость каждый раз исполнять несколько па с бубном действительно напрягает.

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 14:50 
научите git использовать их всех

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено например , 02-Авг-14 15:50 
umount -l и перегружать не надо.

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено prof_alex , 02-Авг-14 23:48 
> Я все ждал-ждал, что в самбе можно будет убивать блокировку на отдельный файл отдельной netbios-сессии пользователя, но даже в самых последних релизах все равно - убивать блокировку можно на всю сессию целиком, это значит что если пользователь Иванов открыл файлы kassa.xlsx, detali.docx, spisok.doc, сам убежал куда-то, и нам срочно нужен для работы файл detali.docx, то мы не сможем прибить блокировку только на этот файл, если и сможем прибить блокировку то на все его открытые файлы

Как вам удалось заблокировать файл, открытый по smb на линуксовом сервере, что бы нельзя было выполнить cp file new_file?

> В линуксе же есть аж три способа получить доуступ до файлов на сервере:

У gvfs поддержка smb есть уже есть давно, очень давно. У kio тоже есть поддержка smb, не говоря уже про autofs.

> Ведь можно было бы сделать все как в винде и даже лучше

Можете начинать делать.


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 12:01 
У кого у самих-то? Вы же не имеете никакого отношения ни к разработке Samba, ни к разработке Linux, ни любого другого свободного софта. Не надо себя с нами ассоциировать.

"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Аноним , 02-Авг-14 16:05 
> У кого у самих-то? Вы же не имеете никакого отношения ни к
> разработке Samba, ни к разработке Linux, ни любого другого свободного софта.
> Не надо себя с нами ассоциировать.

А ты - ты имеешь?


"В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в р..."
Отправлено Нанобот , 02-Авг-14 22:56 
правильно так: В Samba 4.1.11 и 4.0.21 устранена _очередная_ критическая уязвимость