The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"В Samba устранено 8 опасных уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Samba устранено 8 опасных уязвимостей"  +/
Сообщение от opennews (??), 10-Ноя-21, 15:32 
Опубликованы корректирующие выпуски пакета Samba 4.15.2, 4.14.10 и 4.13.14 с устранением 8 уязвимостей, большинство из которых могут привести к полной компрометации домена Active Directory. Примечательно, что одну из проблем исправляли с 2016 года, а пять - с 2020 года, тем не менее одно исправление привело к невозможности запустить winbindd при наличии настройки "allow trusted domains = no" (разработчики намерены оперативно опубликовать ещё одно обновление с исправлением). Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=56132

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 10-Ноя-21, 15:32   +9 +/
Ну, это самба. То ли ещё будет, когда её в ядро протащат.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #19

2. Сообщение от QwertyReg (ok), 10-Ноя-21, 15:34   –12 +/
> пользователь домена Active Directory, имеющий возможность создавать новые учётные записи на своей системе, управляемые через ms-DS-MachineAccountQuota, мог получить доступ с правами root на другие системы, входящие в домен.

Это же просто прелестно. Я даже не знаю, как выразить всё своё восхищение качеством и безопасностью открытого кода. Такую-то закладку столько-то времени держать открытой, моё почтение разработчикам.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #6

3. Сообщение от 41 (?), 10-Ноя-21, 15:37   +2 +/
закладки открытыми не держат
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

4. Сообщение от Аноним (4), 10-Ноя-21, 15:40   +9 +/
Ну да, это конечно не сравнить с сегодняшним раскрытием 55 уязвимостей в продуктах Microsoft, из которых куча Remote Code Execution без аутентификации. В Samba всего-то для атаки требуется наличие прав админа :-)

https://www.zerodayinitiative.com/blog/2021/11/9/the-novembe...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8, #13, #18, #44

5. Сообщение от пох.. (?), 10-Ноя-21, 15:42   +2 +/
Мущина, проснитесь, проснитесь скорее!

ksmbd - УЖЕ в вашем ведре. (а, смотрю, вы и не спите?)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #20, #29, #56

6. Сообщение от пох.. (?), 10-Ноя-21, 15:42   +1 +/
Ну так ты ж не умеешь кодить, а кто за тебя будет-то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7

7. Сообщение от Анонн (?), 10-Ноя-21, 15:47   –3 +/
Как показывает эта заметка - они тоже не умеют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #17

8. Сообщение от Аноним (4), 10-Ноя-21, 15:47   +5 +/
Особенно порадовали дыры "CVE-2021-42298 Microsoft Defender Remote Code Execution Vulnerability" и "CVE-2021-38666 Remote Desktop Client Remote Code Execution Vulnerability"

Из 55 уязвимостей для двух уже в обиходе применялись эксплоиты, а у четырёх информация была публично раскрыта до исправления. Зачем им торопиться, enterprise же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

9. Сообщение от BratishkaErik (ok), 10-Ноя-21, 15:48   –2 +/
UOD: извините, в ядре другое

А ведь его в ядре 5.15 приняли... Хорошо, что menuconfig существует

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #11, #16

10. Сообщение от iPony129412 (?), 10-Ноя-21, 15:53   –1 +/
Samba в ядро не принимали.
Там своя. Более лёгкая реализация.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14

11. Сообщение от Аноним (11), 10-Ноя-21, 15:54   +3 +/
Не путайте ksmbd с отдельной самбой. У них вообще общего кода нет, по моему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #12

12. Сообщение от BratishkaErik (ok), 10-Ноя-21, 15:57   –1 +/
А, ну круто :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #49

13. Сообщение от QwertyReg (ok), 10-Ноя-21, 15:57   –9 +/
"А у вас негров линчуют!".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #15

14. Сообщение от BratishkaErik (ok), 10-Ноя-21, 15:57   –1 +/
гуд
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #48

15. Сообщение от деанон (?), 10-Ноя-21, 16:01   +/
Правильно, когда нечем аргументировать можно и дураком обозвать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от iPony129412 (?), 10-Ноя-21, 16:08   –1 +/
И тем более 7 из этих 8 уязвимостей в принципе не могут быть найдены в этом самом ядреннном.
Потому что оно это не умеет (SMBv1 и Active Directory).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #50

17. Сообщение от Аноним (17), 10-Ноя-21, 16:15   +5 +/
Не показывает. У них есть продукт. А у него только мохнатые ручки и подслеповатые глазки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

18. Сообщение от iPony129412 (?), 10-Ноя-21, 16:19   –2 +/
> For November, Microsoft released patches today for 55 new CVEs in Microsoft Windows and Windows Components, Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office and Office Components, Windows Hyper-V, Windows Defender, and Visual Studio.

А смешно. К чему это сравнение с таким гигантским фронтом?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

19. Сообщение от Аноним (19), 10-Ноя-21, 16:25   +6 +/
К слову, в ksmbd только SMB3 и без расширенных возможностей. А в статье уязвимости в AD и SMB1
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #22

20. Сообщение от Аноним (20), 10-Ноя-21, 16:28   –3 +/
Непонятно, почему поха минуснули? :) У кого-то пригорело? Так просвещайтесь: https://www.kernel.org/doc/html/latest//filesystems/cifs/ksm...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #21

21. Сообщение от Аноним (21), 10-Ноя-21, 17:37   +9 +/
Модуль файлового сервера это далеко не вся Samba. AD и около него в ядре нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #34

22. Сообщение от пох.. (?), 10-Ноя-21, 18:20   –6 +/
ну здрасьте... там как раз все кроме безнадежно мертвого v1, и (тадам!) с Rdma, ради которого вроде как и затевалось пихание всего и вся в ведро, "что-то не получилось", как обычно.

Остальное в наличии, большая часть правда через userspace-daemon, но тот ни разу не самба и интеграцию с ней и ее тулзами обещают...когда-нибудь...лет через пятьдесят-семьдесят (ибо нехер лезть со своей подделкой под AD туда где ms еще продает оригиналы)

А пока вон, пройдись с диске...флэшкой и скопируй всем пароли.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #37

23. Сообщение от Аноним (23), 10-Ноя-21, 19:07   –2 +/
> клиентские соединения, установленные с использованием протокола SMB1

А может уже пришла пора выпилить этот протокол совсем?
Когда будет возможность выпиливать smb1 на этапе компиляции целиком вместе с его вонючим lanmanager? Небось размазали по всей samba его...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

24. Сообщение от qwe (??), 10-Ноя-21, 19:22   –1 +/
Когда пошла мода тянуть в ядро клиентские приложения/функционал аля винда?
Wireguard привязан к производительности сети - это понятно.

А самба каким боком важность заработала?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #26, #30

25. Сообщение от qwe (??), 10-Ноя-21, 19:22   –1 +/
Т.е. суть есть ftp в ядре. Это где видано? Охренеть приплыли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #31

26. Сообщение от Аноним (-), 10-Ноя-21, 19:46   –2 +/
> Когда пошла мода тянуть в ядро клиентские
> приложения/функционал аля винда?

Ньюфаг что ли? Аля винда это клиент-серверное взаимодействие, API/DOM/DCOM/RPC.
Врубать в ядро всё подряд c возможностью отключения - это чисто линуксовый подход.

> Wireguard привязан к производительности сети
> - это понятно.

Вирегард - вишенка на торте. Линуксовое ядро что твой фаршированный болгарский перец уже как лет 20.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

27. Сообщение от Аноним (23), 10-Ноя-21, 19:46   +/
Оффтопик, конечно, но у меня вопрос про переводы и как к этому относиться.

Наверное, не один я заметил, что в красивом и чудесном мире Auth переводы терминов на русский какие-то... коряво звучащие, хотя при этом правильные.

OAuth2 выдаёт жетоны (token), которые содержат утверждения (claims), хотя скорее требования или претензии. Особенно жутко становится при попытке переводить SAML, который стандартизирует передачу утверждений (assertion) между поставщиком удостоверений (identity provider) и поставщиком услуг (service provider) для аутентификации или авторизации на полагающейся стороне (relying party) для организации идентификации на основе утверждений (сlaims-based identity). Если сравнить OAuth2 и SAML окажется, что самый часто используемый поток авторизации (authorization flow) - поток кода авторизации (authorization code flow) вполне достижим в SAML с применением привязки артефактов (artifact binding), реализующего аналогичную схему единого входа в систему (single sign on).

Я могу и дальше так продолжать... просто автору новости слово билет глаз порезало, поэтому у него ticket-ы повсюду.

Смелее надо быть и больше любить русский язык. А то я как расскажу вам тут про передачу утверждений SAML в федерированной среде в рамках кода авторизации OAuth2 и последующим получением жетона на поставщике услуг, производящим олицетворение (impersonation) пользователя в приложении не поддерживающем утверждения, а работающим с применением того же Kerberos.

На "билеты" автора попрыщило, ха, слабак.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #39

28. Сообщение от Аноним (1), 10-Ноя-21, 20:25   –1 +/
Олицетворение? Чёт мне кажется не тот смысл, оно же притворяется кем-то? Там есть "исполнение роли" -- это первое о чём бы я подумал, услышав данное слово.

>an act of pretending to be another person for the purpose of entertainment or fraud.

Олицетворение такое олицетворение… Держите свои потные ручки подальше от моего софта и может быть когда-нибудь я стану использовать локали. Хорошо конечно, что серьёзный софт может позволить себе нормальных переводчиков, но обидно за опенсорс.

Ответить | Правка | Наверх | Cообщить модератору

29. Сообщение от Аноним (29), 10-Ноя-21, 20:41   +/
В 5.15 только.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

30. Сообщение от Нанобот (ok), 10-Ноя-21, 20:58   +/
> А самба каким боком важность заработала?

реализация на уровне ядра более эффективна с точки зрения производительности, потребления памяти и интеграции с расширенными возможностями ядра.

(так написано в предыдущей новости по ksmbd)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

31. Сообщение от Нанобот (ok), 10-Ноя-21, 21:04   +/
Был когда-то http-сервер в ядре, tux назывался. Правда в состав оффициальных ядер он не входил вроде
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

32. Сообщение от Аноним (32), 10-Ноя-21, 21:18   –1 +/
Ооооо, а где тут любитель обмазываться дыркой в ексчендже? Ну который тут непрерывно скакал петушком и рассказывал как это опасно в любой новости. Пропал что-ли? Ан нет, выше кго брат пришёл, с первой нагугленной ссылкой на всю инфраструктуру мс.
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от pofigist (?), 10-Ноя-21, 21:34   +/
Пока нет.
Ключевое слово - пока.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #43

35. Сообщение от Demo (??), 10-Ноя-21, 21:46   –1 +/
> переводы терминов на русский какие-то... коряво звучащие

Дело привычки.
Когда годами долбят про "значительные выпуски", "жетоны" и проч., потом не нужно удивляться, что разработчики софта (!) просят IT-отдел на рабочие станции ставить "русскую версию" того-то и сего-то.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #36

36. Сообщение от Аноним (23), 10-Ноя-21, 21:58   +1 +/
то ли дело когда они говорят вслух про мажорные релизы и токены на своём эльфийском диалекте русского
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

37. Сообщение от ананим.orig (?), 10-Ноя-21, 22:04   +1 +/
> и (тадам!) с Rdma, ради которого вроде как и затевалось пихание всего и вся в ведро,

каким местом сабж относится к ядру?
если без барабанов в голове?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

38. Сообщение от Аноним (38), 10-Ноя-21, 22:27   +/
Сразу видно, опенсорс дыр гораздо меньше и лотаются оперативнее =)
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (39), 10-Ноя-21, 23:30   +/
Вообще-то ticket в Kerberos официально именуется сеансовым мандатом, а не билетом. Но при таком упоминании не очевидно, что имеется в виду, а при написании "ticket" тем, кто давно работает с Kerberos,  сразу становится понято о чем речь. Вы же предлагайте перевод ради перевода, при котором никто не поймёт что подразумевалось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #47

43. Сообщение от Аноним (43), 11-Ноя-21, 02:31   +/
Когда будет, тогда и приходи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

44. Сообщение от ВыньОпух неавторизован (ok), 11-Ноя-21, 05:21   +1 +/
Ну это ж MS! Это уже нормально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

47. Сообщение от Аноним (23), 11-Ноя-21, 10:36   +/
> Вообще-то ticket в Kerberos официально именуется сеансовым мандатом, а не билетом.

Не так... Сеансовый мандат - это как раз та самая сущность, которой оперирует каждый протокол децентрализированной аутентификации и/или авторизации. И чтобы не было путаницы в этих протоколах эти сеансовые мандаты называются по-разному. Жетоны, утверждения, билеты.

>  Но при таком упоминании не очевидно, что имеется в виду, а при написании "ticket" тем, кто давно работает с Kerberos,  сразу становится понято о чем речь.

Много это сколько? Я плотно с ним работаю примерно 12 лет и мне понятно и ticket и билет, которые переводятся того что 1 в 1. Проблема о которой я говорю выражается в двух вещах:
1) У некоторых людей есть необъяснимое желание создавать мешанину из русского и английского особенно в тех местах где это избыточно, русских слов вполне хватает и они переводятся недвусмысленно.
2) Именование терминов в протоколах аутентификации и авторизации корявое не только в русском, но и в английском. Я говорю по-английски и понимаю, как глупо звучат некоторые вещи, особенно в SAML.

> Вы же предлагайте перевод ради перевода, при котором никто не поймёт что подразумевалось.

Я предлагаю снизить порог вхождения в протоколы децентрализированной аутентификации и авторизации путём выбора одного языка. Либо английского, либо русского, не предлагая глупой бессмысленной мешанины, которая заставляет того, кто пытается разобраться в этих путанных протоколах, учить вполне известные английские слова как имена собственные, несмотря на наличие аналогичных русских слов. Путаница при переводе возможна только между claim и assertion, но это SAML, а мы говорим сейчас про билеты и ticket-ы Kerberos.
И вообще я не понимаю, что значит "никто не поймёт", я пойму и так и так, просто изобретение и добавление в русскую речь тикетов, токенов, ассершенов и прочих артефактов не помогает пониманию новичков.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #51

48. Сообщение от _ (??), 11-Ноя-21, 19:04   –1 +/
Ну да, ну да - гуд ... в другой руке(С)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

49. Сообщение от _ (??), 11-Ноя-21, 19:05   –1 +/
Когда тебя чпокнут через жто - ты такой - "Да это же не самба - не щитово!" :-))) А чпокнут обязательно, просто сказка - ремотный доступ прямо в кЁрелХ ... вАх!(С)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

50. Сообщение от _ (??), 11-Ноя-21, 19:07   –2 +/
... пока не умеет. Но ведь такое не в первый раз происходит :-Р
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

51. Сообщение от _ (??), 11-Ноя-21, 19:13   –2 +/
Сеансовый мандат - это ты! :)
Вот ещё на вашем - НГМД, КДПЗУ ну и прочий ППЦ :-D
Уххх аж зубы свело :-F
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

52. Сообщение от Аноним (52), 11-Ноя-21, 21:16   +1 +/
Вообщем-то, в винде уже давно выпилили, как раз из-за дыреней.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

53. Сообщение от Kuromi (ok), 12-Ноя-21, 00:41   +/
Самое забавное когда хочешь удалить Самбу нафиг из дистрибутива, но оказывается что её хочет MPV.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54, #55, #57

54. Сообщение от Аноним (11), 12-Ноя-21, 10:54   +/
Знвчит вот такой у вас хреновый дистрибутив.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

55. Сообщение от Аноним (-), 12-Ноя-21, 10:59   +/
А в твоём дистре не различаются мягкие и жёсткие зависимости?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

56. Сообщение от Ольбертович (?), 13-Ноя-21, 17:39   +/
Как Вас зовут? Не слышу, ну и ладно, пойду покакаю
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

57. Сообщение от Coldman (?), 15-Ноя-21, 09:50   +/
$ sudo pacman -R samba
проверка зависимостей...
:: libsoup опционально требует samba: Windows Domain SSO
:: libsoup3 опционально требует samba: Windows Domain SSO
:: mc опционально требует samba: VFS support

Пакеты (1) samba-4.15.2-1
Будет освобождено:  54,82 MiB

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру