The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в реализации NetBIOS

01.08.2014 23:48

Представлены корректирующие выпуски Samba 4.1.11 и 4.0.21, в которых устранена уязвимость (CVE-2014-3560), которая позволяет организовать удалённое выполнение кода злоумышленника с правами пользователя root при обработке специально оформленного сетевого запроса. Уязвимости подвержены только ветки Samba 4.0 и 4.1.

Проблема вызвана ошибкой в коде демона nmbd, которая может привести к записи за границу буфера. Уязвимость проявляется при использовании Samba в качестве сервера имён NetBIOS. Атака может быть совершена без проведения аутентификации. В качестве запасного пути защиты рекомендуется не запускать процесс nmbd.

Обновление пакетов с устранением уязвимости пока выпущено только для Ubuntu и Slackware. Оценить появление обновлений в других дистрибутивах можно на следующих страницах: Debian, CentOS, RHEL, Fedora, openSUSE, SLES, Gentoo, OpenBSD, NetBSD, FreeBSD.

  1. Главная ссылка к новости (http://permalink.gmane.org/gma...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/40314-samba
Ключевые слова: samba, netbios
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, vitalif (ok), 02:28, 02/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Мда... а некоторые умудряются её на сервере включённой оставить...
     
     
  • 2.2, _KUL (ok), 03:54, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Самбу?
     
  • 2.12, Аноним (-), 10:08, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На каком сервере, извините? Вы точно понимаете, о чем тут речь идет?
     
     
  • 3.41, pavlinux (ok), 23:54, 03/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    файло на виртуалках с вендами чем гонять?
    Я знаю примерно 20 способов, самый быстрый вариант - самба.
     
  • 3.45, vitalif (ok), 22:14, 05/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    на каком-каком, публичном

    поставит гореадмин дистр по умолчанию, а там самба...

     

  • 1.3, Ванга (?), 04:03, 02/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жаль NFS на винде неюзабельна
     
     
  • 2.4, Led (ok), 04:42, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Жаль NFS на винде неюзабельна

    Всё верно: вы, вендузятники, должны страдать.

     
     
  • 3.6, Анонимный (?), 04:54, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Я не использую вантуз, но мои рабы в персонале офиса масдайщики
     
     
  • 4.7, Apple (?), 07:52, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ахахах... рабы, это те, что по звонку директору награждают шваброй в добавок к клавиатуре?;)
     
  • 4.9, Аноним (-), 08:55, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Я не использую вантуз, но мои рабы в персонале офиса масдайщики

    У вас какое-то BDSM-предприятие, или что?

     
     
  • 5.33, Аноним (-), 21:37, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Я не использую вантуз, но мои рабы в персонале офиса масдайщики
    > У вас какое-то BDSM-предприятие, или что?

    макбук у него, а у остальных вантузные вёдра под столами, вот он и угорает со своих жалких терпил, у которых даже nfs нету

     
  • 2.24, Аноним (-), 16:03, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Жаль NFS на винде неюзабельна

    Вот за что я не люблю фанбоев пингвинуса - противника не знают, но критиковать лезут.

    Чувак! Открытие века - у Майкрософт есть UNIX-клиент! Сто лет в обед как есть! И там есть NFS-клиент! Сюрпризщ-сюрприз! Был еще со времен NT 4!

     
     
  • 3.28, Stax (ok), 16:33, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И он неюзабелен.
    UTF-8 или любую другую, совместимую с русскими буквами кодировку он не понимает. Соответственно, придется ограничить себя английскими буквами в именах файлов (и иероглифами. CJK-кодировки он понимает ;)

    Проблемы с производительностью там подчас жуткие и на некоторых сетевых конфигурациях не решаются ничем. Иногда NFSEx может спасти, иногда не может ничего, скорость по гигабиту будет как по 100 мегабитам, а параметров для кручения нет (а виной всему криво реализованная работа виндового rpc..).

    Наконец, чтобы неповадно было, MS его выпилила из всех версий винды, кроме серверной (2008/2012) и Ultimate/Enterprise (это в 7-ке; в 8-ке только Enterprise). В обычных Professional, которые обычно покупаются для офисных компов, работающих в домене его больше нет и способа установить не существует.

     

  • 1.5, anonymus (?), 04:43, 02/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А я в своё время злорадствовал, как так хвалёный MS Windows имеет дырявый netbios, который позволяет неавторизованное удалённое выполнение произвольного кода. Только MS его давно пофиксил, а в самбе висел он до сих пор. Может зря ругаем мелокомягких, у самих бревно в глазу есть?

    P.S. Ну только вот не надо говорить, что протокол проклят.

     
     
  • 2.8, Аноним (-), 08:51, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Проклят не протокол, а ущербна вся модель построения сети "от микрософт". Авторы Samba повторяют ее, и напарываются на похожие грабли. Достоинство Samba в том, что это открытая реализация, но не нужно забывать, что это открытая реализация изначально дерьмовых разработок от микрософт.
     
     
  • 3.10, linux must _RIP__ (?), 09:25, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    как это мешает писать код который должен контролировать выход за пределы массивов?

    Кстати схема сети от NetBIOS - много лучше чем NFS в версии 3 и даже 4.0, 4.1 уже по приятнее, но...

     
  • 3.11, Адекват (ok), 09:26, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Проклят не протокол, а ущербна вся модель построения сети "от микрософт". Авторы
    > Samba повторяют ее, и напарываются на похожие грабли. Достоинство Samba в
    > том, что это открытая реализация, но не нужно забывать, что это
    > открытая реализация изначально дерьмовых разработок от микрософт.

    Самба это недоНетБиос, причем только его хороших качеств. Я все ждал-ждал, что в самбе можно будет убивать блокировку на отдельный файл отдельной netbios-сессии пользователя, но даже в самых последних релизах все равно - убивать блокировку можно на всю сессию целиком, это значит что если пользователь Иванов открыл файлы kassa.xlsx, detali.docx, spisok.doc, сам убежал куда-то, и нам срочно нужен для работы файл detali.docx, то мы не сможем прибить блокировку только на этот файл, если и сможем прибить блокировку то на все его открытые файлы, а сохранил он в них изменения или же после того как мы прибьем его блокировку - он потеряет труды своей работы за полдня - ХЗ !!.
    В винде с этим все давно решено, а в линуксе видимо никто не задумывается.
    Это было раз.
    Два - это монтирование. Как "в винде" видимо не получиться сделать никогда, всмысле прозрачно и удобно - мы делаем в адресной строке браузера или файлового менеджера:
    \\192.168.4.1 и получаем список шар, ну вы меня поняли, надеюсь.
    Это то как работает самба/нетбиос в винде.
    В линуксе же есть аж три способа получить доуступ до файлов на сервере:
    1. smbclient - это когда в адресной строке вводим smb://192.168.4.1 и получаем список файлов и папок, типа как в винда, да фига там - если мы захотим что-то в файле поправить, мы сначала его должны будем скачать его себе, а потом уже править и потом обратно заливать.
    Причем в ручную, этакое фтп, только самба.
    2. mount -t cifs ... классный способ, только вот уж больно статичный, если на сервере расшарить еще одну папку - придется на ВСЕХ компах переписывать fstab, можно конечно автоматизировать через скрипты, но все равно как-то это....
    Но самый главный ФАК этого способа - это то, что если вдруг между компом и сервером пропадет связь, когда шара будет смонтирована - то ядро потеряет точку монтирования и ему сорвет башню, скроее всего рабочую станцию придется перезагружать ресетом, отмонтировать шару не получиться, при попытке отмонтировать - ядро будет сыпать ошибками в консоль.
    3. smbnetfs / fusesmb - классный проект, очень классный, делает почти как в винде - указываем ему папку, и говорим ФАС - вся сеть собрана в одной папке, в которой указаны папки с названиями рабочих групп, а в этих папках - папки с именми или ip компов, у которых что-то расшарено...ВСЕ очень круто, недостатки 1 и 2 отстутствуют, но есть свой один недостаток - эта хрень не всегда работает, то видны расшаренные ресурсы, то нет, и не понятно почему.
    Ведь можно было бы сделать все как в винде и даже лучше, если не ядерным модулем, то хотя бы демоном, который не требовал бы никакой настройки, но при этом имел бы такую возможность, чтобы после запуска демона sambacln все монтировалось в каталог /net как в способе 3, и чтобы все работало стабильно.

     
     
  • 4.13, Аноним (-), 10:09, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • –8 +/
    О, адепты микрософт слетелись, лол. Знаешь, почему в этих проектах нет того, чего хочешь ты? Потому что они обеспечивают временное обеспечение работы гетерогенной сети до тех пор, пока машины мигрируют на нормальные ОС.
     
     
  • 5.14, Аноним (-), 10:36, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну ка, расскажи ка, как сделать в нормальной ОС, такой же удобный способ создания файловых шар?
     
     
  • 6.17, Аноним (-), 11:36, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Какой - такой же? Ты же не про шару по smb, надеюсь, лол?
     
  • 6.21, commiethebeastie (ok), 14:32, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Файловые шары в офисе не нужны, иначе будут утечки данных.
     
     
  • 7.25, Аноним (-), 16:04, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Файловые шары в офисе не нужны, иначе будут утечки данных.

    Да ты что? А ты в офисе-то работал, локалхост? Крупнее чем Рога и Копыта Инкорпорейтед?

     
     
  • 8.34, Аноним (-), 21:41, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Обратите внимание, дети, онанимный мудозвон из микрософта ставит своим убогим вы... текст свёрнут, показать
     
  • 8.42, commiethebeastie (ok), 08:10, 04/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Как раз в крупных конторах с файловами шарами геморой ... текст свёрнут, показать
     
  • 7.38, Аноним (-), 04:03, 03/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Куда утечки то? :) Внутри офиса?
    Утечки данных - это когда работник этого офиса посылает по эл. почте некий файл с некими данными. Или записывает этот файл на флешку. И выносит наружу.
    А самбовые шары - это всего лишь удобный способ обмена файлами.
     
     
  • 8.43, commiethebeastie (ok), 08:11, 04/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Файловая шара это удобный способ слить данные на незащищенный компьютер ... текст свёрнут, показать
     
  • 4.15, Forth (ok), 10:46, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Проблема открытых файлов и в сети Windows все равно остается проблемой, причем организационной. Если какая-то сволочь все время забывает закрыть общие рабочие документы, то так ему и надо.
    net rpc file close на samba не помогает, кстати?
    Дальше по тексту оптом:
    Вы не умеете монтировать cifs, раз приходится перезагружать рабочие станции при отвале сервера. (Между прочим: Часто отваливается связь? Может пора что-то менять?)
    Также cifs прекрасно работает с демоном автомонтирования, будет как раз то, что Вам так хочется в последнем абзаце.
     
     
  • 5.16, Etch (?), 11:19, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > (Между прочим: Часто отваливается связь? Может пора что-то менять?)

    запретить перезагружать или выключать винды на ночь?

    > Также cifs прекрасно работает с демоном автомонтирования, будет
    > как раз то, что Вам так хочется в последнем абзаце.

    Что за демон такой, умеющий сам определять появление сетевых ресурсов? Можно название и настройки?

     
     
  • 6.20, Forth (ok), 12:20, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > запретить перезагружать или выключать винды на ночь?

    Причем здесь рабочие станции? У вас проблемы с отмонтированием ресурсов при пропадании сервера или что?
    > Что за демон такой, умеющий сам определять появление сетевых ресурсов? Можно название
    > и настройки?

    autofs, оно снабжено передачей параметров. Если туда приделать еще и скрипт обзора ресурсов, получите что хотели.
    (У меня это работало на прошлой работе в 2011 году точно, если память не изменяет)

     
     
  • 7.26, Аноним (-), 16:05, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> запретить перезагружать или выключать винды на ночь?
    > Причем здесь рабочие станции? У вас проблемы с отмонтированием ресурсов при пропадании
    > сервера или что?
    >> Что за демон такой, умеющий сам определять появление сетевых ресурсов? Можно название
    >> и настройки?
    > autofs, оно снабжено передачей параметров. Если туда приделать еще и скрипт обзора
    > ресурсов, получите что хотели.
    > (У меня это работало на прошлой работе в 2011 году точно, если
    > память не изменяет)

    Сейчас 2014й. Ты еще NIS+ вспомнил бы, лол.

    У меня жена раньше девочкой была - знаешь такую фразу?

     
     
  • 8.31, Forth (ok), 17:31, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О боже, ЦЕЛЫХ ТРИ ГОДА Мир перевернулся наверное Кстати, хорошая штука была ... текст свёрнут, показать
     
  • 8.32, Led (ok), 20:47, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А сейчас мальчик ... текст свёрнут, показать
     
     
  • 9.35, chinarulezzz (ok), 21:57, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо намекает что за три года стала женщиной Это или у них за это время был с... текст свёрнут, показать
     
  • 7.29, Etch (?), 16:45, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> запретить перезагружать или выключать винды на ночь?
    > Причем здесь рабочие станции? У вас проблемы с отмонтированием ресурсов при пропадании
    > сервера или что?

    Вопрос был про отваливание связи. Проблем с отмонтированием не имею.

    >> Что за демон такой, умеющий сам определять появление сетевых ресурсов? Можно название
    >> и настройки?
    > autofs, оно снабжено передачей параметров. Если туда приделать еще и скрипт обзора
    > ресурсов, получите что хотели.
    > (У меня это работало на прошлой работе в 2011 году точно, если
    > память не изменяет)

    Звучит не очень надёжно... Много ли было компов в сети и монтируемых ресурсов? Как часто скрипт делал обзор ресурсов? Он работал как демон или по крону? И зачем нужен autofs? - если всё-равно свой скрипт делает основную работу, то и монтировать/отмонтировать наверное сам сможет...

     
     
  • 8.30, Forth (ok), 17:29, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тогда я совсем не понимаю что не так У меня отваливание связи не приводило к пр... текст свёрнут, показать
     
     
  • 9.39, Etch (?), 04:05, 03/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    AFAIR, после восстановления связи cifs нужно перемонтировать Мне-то как раз е... текст свёрнут, показать
     
     
  • 10.40, Forth (ok), 15:01, 03/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Стоит проверить, конечно, но я такого не помню Не пользуйтесь fuse Тем более е... текст свёрнут, показать
     
     
  • 11.44, Etch (?), 08:53, 04/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Проверил - действительно, перемонтирования не требует То ли меня память подводи... текст свёрнут, показать
     
  • 4.19, Аноним (-), 12:04, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это, вообще-то не к Самбе претензии, а к "оболочкам", но таки да - необходимость каждый раз исполнять несколько па с бубном действительно напрягает.
     
  • 4.22, Аноним (-), 14:50, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    научите git использовать их всех
     
  • 4.23, например (?), 15:50, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    umount -l и перегружать не надо.
     
  • 4.37, prof_alex (?), 23:48, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я все ждал-ждал, что в самбе можно будет убивать блокировку на отдельный файл отдельной netbios-сессии пользователя, но даже в самых последних релизах все равно - убивать блокировку можно на всю сессию целиком, это значит что если пользователь Иванов открыл файлы kassa.xlsx, detali.docx, spisok.doc, сам убежал куда-то, и нам срочно нужен для работы файл detali.docx, то мы не сможем прибить блокировку только на этот файл, если и сможем прибить блокировку то на все его открытые файлы

    Как вам удалось заблокировать файл, открытый по smb на линуксовом сервере, что бы нельзя было выполнить cp file new_file?

    > В линуксе же есть аж три способа получить доуступ до файлов на сервере:

    У gvfs поддержка smb есть уже есть давно, очень давно. У kio тоже есть поддержка smb, не говоря уже про autofs.

    > Ведь можно было бы сделать все как в винде и даже лучше

    Можете начинать делать.

     
  • 2.18, Аноним (-), 12:01, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У кого у самих-то? Вы же не имеете никакого отношения ни к разработке Samba, ни к разработке Linux, ни любого другого свободного софта. Не надо себя с нами ассоциировать.
     
     
  • 3.27, Аноним (-), 16:05, 02/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > У кого у самих-то? Вы же не имеете никакого отношения ни к
    > разработке Samba, ни к разработке Linux, ни любого другого свободного софта.
    > Не надо себя с нами ассоциировать.

    А ты - ты имеешь?

     

  • 1.36, Нанобот (ok), 22:56, 02/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    правильно так: В Samba 4.1.11 и 4.0.21 устранена _очередная_ критическая уязвимость
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру