Уязвимость в Samba, позволяющая удалённо выполнить код на сервере

16.10.2025 11:05

Опубликованы корректирующие выпуски пакета Samba 4.23.2, 4.22.5 и 4.21.9 с устранением уязвимости (CVE-2025-10230) в реализации сервера разрешения имён WINS, позволяющей добиться удалённого выполнения своего кода на сервере без прохождения аутентификации. Проблеме присвоен наивысший уровень опасности - 10 из 10.

Уязвимость вызвана отсутствием должной проверки значений, передаваемых перед запуском приложения, указанного в параметре "wins hook". Данное приложение запускается через команду "sh -c" при каждом изменении имени через WINS. При использовании WINS в контроллере домена Active Directory, имена NetBIOS, передаваемые в числе аргументов командной строки при запуске hook-приложения, не очищались от спецсимволов, что позволяло добиться выполнения произвольных shell-команд через указание в запросе к WINS-серверу специально оформленного имени NetBIOS.


   cmd = talloc_asprintf(tmp_mem,
                      "%s %s %s %02x %ld",
                      wins_hook_script,
                      wins_hook_action_string(action),
                      rec->name->name,
                      rec->name->type,
                      (long int) rec->expire_time);
   ...
   execl("/bin/sh", "sh", "-c", cmd, NULL);

Клиент без аутентификации может отправить к WINS-серверу пакет регистрации и запросить любое имя NetBIOS, не превышающее 15 символов. Чистка таких символов, как '<', '>' и ';', в имени не производится. Соответственно при запуске hook-обработчика передача имени вида "name;id>file" приведёт к выполнению утилиты "id" и направлению вывода в файл "file".

Уязвимость проявляется на системах, в которых в smb.conf выставлен параметр 'wins hook' при использовании контроллера домена с активным сервером WINS (по умолчанию отключён и требует включения параметра "wins support = yes"). При использовании WINS-сервера в системах без контроллера домена уязвимость не проявляется. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo, Arch, FreeBSD, OpenBSD и NetBSD.

В опубликованных выпусках Samba также устранена менее опасная уязвимость (CVE-2025-9640), приводящая к утечке неинициализированной памяти. Проблема проявляется в модуле vfs_streams_xattr при возникновении сбоев выделения памяти, которые можно вызвать через совершение операций записи, создающих пустые области в файле. Уязвимость может быть эксплуатирована аутентифицированным пользователем.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64062-samba

Ключевые слова: samba

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (27)

1.1, Аноним (1), 11:35, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]	+10 +/–
Не стоит ставить 10/10 уязвимостям, которые у нас васянов по дефолту отключены.

2.11, нах. (?), 12:21, 16/10/2025 [^] [^^] [^^^] [ответить]	+6 +/–
Я бы сказал что это вообще не уязвимость а служебная функция. Васян зачем-то удумавший запускать какие-то баш-скрипты из WINS (ШТОА?!) еще и до авторизации - недоволен что скрипты, ну надо же - запускаются. Причем на какой-такой случай ядерной войны придумана эта ненужная ненужна - наверное уже даже сами авторы самбы не вспомнят.

3.31, User (??), 14:35, 16/10/2025 [^] [^^] [^^^] [ответить]	+/–
Ну, я лет эээ... 15? назад через этот (Вроде бы этот, но зуб не дам) механизм отдавал пользаку ближайший к нему включенный (!) сетевой принтер. Не то, чтобы без этого нельзя было бы обойтись, это хорошо работало и сильно упрощало процесс печати - но я был моложе и глупее...

1.2, Аноним (-), 11:39, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

> не очищались от спецсимволов, что позволяло
> добиться выполнения произвольных shell-команд

Дидовые башпортянки наносят ответный удар. Опять!
Олично спроектированная система))

2.5, Аноним (5), 11:54, 16/10/2025 [^] [^^] [^^^] [ответить]	+2 +/–
надо было на безопасном языке писать

2.8, Аноним (8), 12:05, 16/10/2025 [^] [^^] [^^^] [ответить]	+5 +/–
А что, чекер боровов уже и передаваемые аргументы от спецсимволов чистит?

3.14, Аноним (14), 12:30, 16/10/2025 [^] [^^] [^^^] [ответить]	–1 +/–
> А что, чекер боровов уже и передаваемые аргументы от спецсимволов чистит? Но ведь он ничего не говорил про Раст. Как же смешны местные воины против ветряных мельниц...

4.22, Аноним (22), 13:42, 16/10/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Но ведь ты же говорил про альтернативы портянкам. Как же они называются?

5.30, Аноним (14), 14:33, 16/10/2025 [^] [^^] [^^^] [ответить]

+1 +/–

> Но ведь ты же говорил про альтернативы портянкам.

Нет, не говорил. Где ты это увидел?

Сами приписывают другим утверждения про Раст и прочий бред - и сами выводят их на чистую воду. Господи, ну и цирк. Что с вами не так?

4.25, Аноним (25), 13:44, 16/10/2025 Скрыто ботом-модератором [к модератору]	+/–

2.15, Аноним (-), 12:50, 16/10/2025 [^] [^^] [^^^] [ответить]

+2 +/–

> Дидовые башпортянки наносят ответный удар. Опять!

Деды считали, что привилигированные процессы не должны получать данные и команды от пользовательских. Это святое правило деды строго чтили соблюдали. Например init не принимал команды от пользователей.

И все с безопасностью было хорошо, но тут пришел вредитель потеринг, которого заслали для порчи системы. Он не разобрался как пользователь может дать команду дедовскому init для выключения компьютера. И решил что пользователь может передавать команды привелигорованным процессам через фильтры на JS и polkitd.

> Олично спроектированная система))

Поблагодари вредителя потеринга.

2.17, Дробовик (?), 13:29, 16/10/2025 [^] [^^] [^^^] [ответить]	+1 +/–
>> имена NetBIOS... не очищались от спецсимволов, что позволяло добиться выполнения произвольных shell-команд > Дидовые башпортянки Уязвимость в дырявой самбе, а виноваты башпортянки

3.18, Аноним (-), 13:35, 16/10/2025 [^] [^^] [^^^] [ответить]	+1 +/–
> а виноваты башпортянки Башпортянки defective by design c их необходимостью экранировать все и вся. С другой стороны, что еще ожидать от такой древности.

4.23, Аноним (22), 13:43, 16/10/2025 [^] [^^] [^^^] [ответить]	–1 +/–
На что ты заменишь на пхп или джаваскрипт?

1.7, Аноним (7), 12:03, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Мы подаем необработанный пользовательский ввод в командную строку, что может пойти не так? В общем форменный xkcd/327.

2.10, IdeaFix (ok), 12:12, 16/10/2025 [^] [^^] [^^^] [ответить]

+/–

Ну смотри, вот создатели, хотя скорее опакечиватели, томкета не такие. Они сломали работу на 80 порту и работу от рута, сломали максимальное количество файлов которое может открыть сервис и сказали - теперь оно безопасно, т.к. не юзабильно.

Хочешь пользовать - откати наши "защиты" вот тут, тут и тут, вектор атаки будет такой-то, но теперь это твоя ответственность, пользователь.

Так что всегда есть альтернатива.

1.16, Аноним (16), 13:07, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

Ну прекрасно.

Вместо того, чтобы написать (или взять готовый) билдер строки для exec с экранированием каждого аргумента (да, script придется сначала распарсить на токены - ну и?), имеем вот такое:

/*
+ * Test that the WINS server does not call 'wins hook' when the name
+ * contains dodgy characters.
+ */
+static bool nbt_test_wins_bad_names(struct torture_context *tctx)

А потом будут удивляться, когда кто-то найдет не предусмотренный в этих bad names вариант.

2.21, Аноним (22), 13:41, 16/10/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Но имя комитерп конечно же нам не сообщишь. Это же не Jia Tan, это другое.

3.28, Аноним (16), 14:16, 16/10/2025 [^] [^^] [^^^] [ответить]	+/–
да я не знаю, я патч скачал и посомтрел

2.33, Аноним (33), 15:32, 16/10/2025 [^] [^^] [^^^] [ответить]	+/–
> Вместо того, чтобы написать Руки отрубать сразу за наличие RCE.

1.19, Аноним (19), 13:36, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
А что вообще самба, на сколько реально на этом вашем линуксе заменить домен контроллер?

2.24, Аноним (24), 13:43, 16/10/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Реально на 100%

3.26, Аноним (19), 13:51, 16/10/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Есть реальный примеры, когда мигрировали с виндового домена без потери функциональности?

1.20, Аноним (22), 13:39, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Какая "неожиданная" "случайность"

1.27, Соль земли2 (?), 13:55, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Исправили они это путём прогона name через isalnum. Но вот в bash переменные предлагается заключать в кавычки и любой символ не запрещается в значении. И bash выполнит exec без shell injection. Почему нельзя также?

1.29, epw (?), 14:22, 16/10/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

1.32, _kp (ok), 14:53, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>>Клиент без аутентификации _МОЖЕТ_ отправить... любое имя NetBIOS А разве не очевидно, что раз отправить могут что угодно, то это забота сервера проверять, всё что ему отправили. Классика - "Что может пойти не так" :)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: