The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раскрыты детали уязвимости Badlock в реализациях протокола SMB"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раскрыты детали уязвимости Badlock в реализациях протокола SMB"  +/
Сообщение от opennews on 12-Апр-16, 22:04 
Раскрыты (https://www.samba.org/samba/latest_news.html#4.4.2) подробности об анонсированной в марте уязвимости Badlock (http://badlock.org/) (CVE-2016-2118 (https://www.samba.org/samba/security/CVE-2016-2118.html)), которая затрагивает почти все версии Windows и Samba. Уязвимость оказалась не столько критичной (CVSS 7.1/6.4  из 10) как предполагалось и  может быть использована для совершения MITM-атаки, при наличии у злоумышленника доступа к шлюзу или локальной сети клиента или сервера, или для инициирования удалённого отказа в обслуживании (DoS). Проблема устранена в выпусках Samba 4.4.2, 4.3.8 и 4.2.11 (исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращена), в которых также исправлено ещё семь уязвимостей (https://www.samba.org/samba/history/security.html).

Суть уязвимости Badlock сводится к тому, что атакующий, способный перехватить DCERPC-трафик между клиентом и сервером, может отправить от имени клиента собственные команды и выполнить на сервере операции с данными в соответствии с привилегиями перехваченного пользователя. Наибольшую опасность представляют атаки, в результате которых может быть перехвачен трафик администратора контроллера домена, что позволяет злоумышленникам получить доступ к просмотру и изменению БД контроллера домена, в том числе к базе хэшей паролей. В случае обычного файлового сервера, атакующие могут изменить права доступа к файлам или директориям.

В рамках работы по устранению уязвимости в конфигурации представлена новая директива "allow dcerpc auth level connect", управляющая доступом к протоколу DCERPC при аутентификации только соединения (по умолчанию доступ запрещён). Также изменён применяемый по умолчанию уровень аутентифицированных привязок, вместо DCERPC_AUTH_LEVEL_CONNECT теперь предлагается DCERPC_AUTH_LEVEL_INTEGRITY, подразумевающий применения дополнительного контроля целостности по цифровой подписи не только при инициировании соединения, но и для каждого сообщения. Дополнительно администраторам рекомендовано применить настройки
"server signing = mandatory" и "ntlm auth = no", без которых угроза проведения MITM-атаки сохраняется для файловых серверов и классических контроллеров домена NT4/Samba3, но ценой включения данных настроек является значительное снижение производительности.

Другие устранённые уязвимости:


- CVE-2015-5370 (https://www.samba.org/samba/security/CVE-2015-5370) (серия ошибок в коде DCE-RPC)

                    - CVE-2016-2110 (https://www.samba.org/samba/security/CVE-2016-2110) (MITM-атака в реализации NTLMSSP)

                    - CVE-2016-2111 (https://www.samba.org/samba/security/CVE-2016-2111) (спуфинг NETLOGON)
                   
                    - CVE-2016-2112 (https://www.samba.org/samba/security/CVE-2016-2112) (проблемы с включением проверки целостности в клиенте и сервере LDAP)

                    - CVE-2016-2113 (https://www.samba.org/samba/security/CVE-2016-2113) (отсутствие проверки сертификата TLS)
                
                    - CVE-2016-2114 (https://www.samba.org/samba/security/CVE-2016-2115) (не применяется "server signing = mandatory")

                - CVE-2016-2115 (https://www.samba.org/samba/security/CVE-2016-2115) (отсутствие защиты целостности трафика SMB IPC)

URL: https://www.samba.org/samba/latest_news.html#4.4.2
Новость: https://www.opennet.ru/opennews/art.shtml?num=44229

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  –2 +/
Сообщение от grec on 12-Апр-16, 22:04 
> (исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращена),

Идиотизм. Разработчики софта и дистрибутивов живут на разных планетах, по видимому.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  –4 +/
Сообщение от Аноним (??) on 12-Апр-16, 23:06 
До боли напоминает подход шиндоус.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +/
Сообщение от cmp (ok) on 12-Апр-16, 23:57 
То есть распространение бытовых роутеров, с прошивкой "до марта" с этого момента приравнивать к распространению наркотиков, пересажать все ОПГ - которыми станут крупные сети, а всех у кого дома найдут роутер отстранить от управления тс, поставить на учет и принудить пройти курс лечения, ага.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  –1 +/
Сообщение от Admino (ok) on 13-Апр-16, 01:25 
А роутеры всё равно не обновляют, даже если обновление от разработчика выйдет.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

21. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +/
Сообщение от cmp (ok) on 13-Апр-16, 07:41 
Ну, так-то на них и дефолтный пароль не меняют. Вопрос обширный, но если проводить аналогии, то даже если въехать в новую квартиру и не сменить замки, то полиция заявление о краже из квартиры примит, а вот кража номера кредитки с компа, вообще не преступление, вора посадят только если за руку поймают, а халатность, или тупость, или злой умысел, производителей, распространителей или пользователей до лампочки. Была бы воля навести порядок, а расписать что-да-как дело не хитрое.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

28. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +/
Сообщение от scorry (ok) on 13-Апр-16, 10:44 
> Ну, так-то на них и дефолтный пароль не меняют.

Ну это не везде, поверьте.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

18. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  –3 +/
Сообщение от Аноним (??) on 13-Апр-16, 06:42 
Ты готов убивать любого, чьё мнение отличается от твоего? "Какой твоё любимый цвет?" "Красный" "Умри, сволочь!" А что если ты фанат полит. партии X, а твоя родная мама проголосует за партию Y? Ты откажешься от мамы?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

23. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +/
Сообщение от Коля on 13-Апр-16, 08:19 
конечно! зачем такая мама? другую найду.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

30. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +1 +/
Сообщение от Michael Shigorin email(ok) on 13-Апр-16, 11:30 
Так шлите же патчи!

PS 2 greg: таким обычно дистрибутивы занимаются.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +/
Сообщение от kerneliq (ok) on 12-Апр-16, 23:51 
Даже в centos 4.2
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

27. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +/
Сообщение от Аноним (??) on 13-Апр-16, 10:25 
Было бы прикольно, если бы пользователи устаревшей самбы при подключении шары ловили в лог "This software is outdated!!! Please upgrade!!!".
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

31. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +/
Сообщение от Аноним (??) on 13-Апр-16, 12:24 
>пользователи
>в лог

Как там у вас, в Валиноре, погодка?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +1 +/
Сообщение от kerneliq (ok) on 13-Апр-16, 13:53 
А что такого? Прилетит им в лог, но они его не будут смотреть.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

38. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  –1 +/
Сообщение от Аноним (??) on 15-Апр-16, 13:39 
Ну зачем тайбомбу в лог.. лучше сразу на экран как xscreensaver. "Я устарел. Я мухожук. Срочно обновите. Ибо код писать мы не умеем и в нашей поделке стопудово куча дыр". Особенно органично смотрится на линукс-терминале. Это же просто мечта, чтобы софт не выполнял свою задачу, а гадил алертами. Даешь идею в апстрим!

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

2. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +2 +/
Сообщение от Аноним (??) on 12-Апр-16, 22:08 
Ну вот банальный MITM и DoS, а столько шуму устроили, даже имя отдельное для уязвимости выдумали.

То ли дело прошлогодняя дыра https://www.opennet.ru/opennews/art.shtml?num=41713 без громких имён, но зато даёт возможность выполнить свой код на стороне сервера с правами root через отправку сетевого пакета.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +2 +/
Сообщение от Disaron (ok) on 12-Апр-16, 22:15 
> Ну вот банальный MITM и DoS, а столько шуму устроили, даже имя отдельное для уязвимости выдумали.

Это потому, что прошлогодняя дыра затрагивала только самбу, а это и винду тоже.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +3 +/
Сообщение от Аноним (??) on 12-Апр-16, 22:27 
Страх и истерия - хлеб для всяких "экспертов по безопасности".
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

41. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +/
Сообщение от Аноним (??) on 16-Апр-16, 04:14 
> Страх и истерия - хлеб для всяких "экспертов по безопасности".

В данном случае есть повод. Можно перехватить управление IT в большой компании с множеством филиалов. Это слабое место технологий типа AD: взлом контроллера домена эквивалентен взлому всех машин домена. Все это используется в множестве компаний из Fortune top 500 и не только. Они будут рады новым "техническим директорам".

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

40. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +/
Сообщение от Анонис on 16-Апр-16, 04:08 
Этот банальный MITM позволяет небанально получить права enterprise admin в active directory. Админ всех компьютеров домена. Поставить троянца на все 2000 компьютеров организации - с такими правами банально. Столь же банально сменить всей компании пароли. После этого админы дружно лишатся прав, а надежно выставить злоумышленника из большой сети с филиалами в разных городах станет почти невозможно. Так выглядит АД любителей AD.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +1 +/
Сообщение от 123 (??) on 12-Апр-16, 22:41 
>>способный перехватить DCERPC-трафик

Человек имеющий слепок ключей от машины таки сможет её открыть.

>>в результате которых может быть перехвачен трафик администратора контроллера домена,

Вы все еще сидите под root?


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  –1 +/
Сообщение от maximnik0 on 13-Апр-16, 09:53 
> Вы все еще сидите под root?

Новости внимательно не читаем ? Проблем в реализации протокола ,то есть затрагивает и виндовс, и в принципе если как писали что в Маке SMB работает на основе библиотек SAMBы,может затрагивать и Эпл компьютеры.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

36. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  –1 +/
Сообщение от soarin (ok) on 13-Апр-16, 18:57 
У apple своя SMBX
Сомневаюсь, что подвержена этой уязвимости.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

39. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  –1 +/
Сообщение от Аноним (??) on 15-Апр-16, 13:44 
> Новости внимательно не читаем ? Проблем в реализации протокола ,то есть затрагивает
> и виндовс

Мы да. А вы нет. Если существует "трафик администратора контроллера домена", значит кто-то сидит под Администратором домена. Что есть антипаттерн. О чем и написал предыдущий оратор.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

42. "Раскрыты детали уязвимости Badlock в реализациях протокола S..."  +/
Сообщение от Аноним (??) on 16-Апр-16, 04:17 
Представь себе, администратор AD иногда логинится, по делам администраторским. Этого достаточно чтобы перехватить управление инфраструктурой. Вообще всей.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

11. "Раскрыты детали уязвимости Badlock в Samba"  –1 +/
Сообщение от й on 13-Апр-16, 00:36 
> исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращена

горячо передают привет:
* Debian 8 от 2015 года с 4.1
* Ubuntu LTS от 2014 года с 4.0

CentOS 7 не передаёт, там 4.2.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Раскрыты детали уязвимости Badlock в Samba"  +1 +/
Сообщение от Anonplus on 13-Апр-16, 01:17 
А это проблемы мейнтейнеров дистрибутивов. Если у дистра политика "долго поддерживать", то бэкпортируют фиксы самостоятельно.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Раскрыты детали уязвимости Badlock в Samba"  –2 +/
Сообщение от Admino (ok) on 13-Апр-16, 01:26 
> А это проблемы мейнтейнеров дистрибутивов. Если у дистра политика "долго поддерживать",
> то бэкпортируют фиксы самостоятельно.

Да, скорее всего, дебианщики быстро сделают, убунтушники быстро к себе утащат, всё будет хорошо.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

33. "Раскрыты детали уязвимости Badlock в Samba"  –1 +/
Сообщение от й on 13-Апр-16, 15:06 
а вот и нет. samba выпустила патчи и для старых выпусков: https://www.samba.org/samba/history/security.html

но это именно патчи, а релиз с новой циферкой не сделала.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Раскрыты детали уязвимости Badlock в Samba"  +/
Сообщение от Аноним (??) on 13-Апр-16, 02:44 
ubuntu-server 16.04

samba-4.3
азазаза

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Раскрыты детали уязвимости Badlock в Samba"  +/
Сообщение от soarin (ok) on 13-Апр-16, 04:43 
Ubuntu LTS от 2014 года с 4.1
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

34. "Раскрыты детали уязвимости Badlock в Samba"  +/
Сообщение от kerneliq (ok) on 13-Апр-16, 17:38 
centos 7 от 2014 с 4.2
ОПС?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

37. "Раскрыты детали уязвимости Badlock в Samba"  –2 +/
Сообщение от soarin (ok) on 13-Апр-16, 20:29 
Я не понял при чем тут Обязательное Пенсионное Страхование, но centos 7 позже вышел, так что логично.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

17. "Раскрыты детали уязвимости Badlock в Samba"  +/
Сообщение от tyuiop on 13-Апр-16, 06:34 
* Ubuntu LTS от 2012 года

Должна же ещё поддерживаться

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

35. "Раскрыты детали уязвимости Badlock в Samba"  +2 +/
Сообщение от Пользователь Debian on 13-Апр-16, 18:27 
Для Debian будут выпущены обновлённые версии для Wheezy (oldstable) и Jessie (текущий stable).

Сегодня тестировал пакеты по просьбе разработчиков (https://lists.debian.org/debian-security/2016/04/msg00040.html).

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

44. "Раскрыты детали уязвимости Badlock в Samba"  –1 +/
Сообщение от Nobody (??) on 23-Апр-16, 19:25 
Хреново тестировал, в новой самбе багов больше чем во всем Linux вместе взятом. Теперь невозможно зайти без пароля на компьютеры с OS Windows 7-10, тоже самое с локальными принтерами. Другой баг заключается в том, что самба через какое-то время перестает отображать всю сеть, только после многочисленных рефрешей снова показывает. ИМХО за такое качество ПО я бы руки разрабам оторвал, разве что оно бесплатное и типа никто никому ничего не должен. Хотя в таком случае пусть и дальше могилу роют свободному программному обеспечению, с таким подходом чувствую конец скоро. Похоже этих го в но кодеров с работы повыгоняли, теперь они за самбу принялись от нехрен делать.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

45. "Раскрыты детали уязвимости Badlock в Samba"  +/
Сообщение от scorry (ok) on 23-Апр-16, 22:27 
> ... с таким подходом чувствую конец скоро.

Вряд ли. Ты же живой, а твоё существование доказывает, что даже нежизнеспособные системы сопротивляются исчезновению.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "Раскрыты детали уязвимости Badlock в Samba"  +/
Сообщение от Nobody (??) on 23-Апр-16, 22:38 
Ты наркоман что ли? Когда рухнула линуховая сеть из-за последнего обновления самбы, было принято решение отказаться от линуха совсем и это в достаточно крупной организации, сейчас постепенно выпиливаем его и ставим ось от мелкомягких, ибо задрало, что перед каждым обновлением систем нужно молиться, чтобы ничего не упало. Сейчас уже закупили лицензии осей от мелкомягких, ибо там обновления системы делают программисты-руками, а не криворукие школьники и гумнокодеры.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

48. "Раскрыты детали уязвимости Badlock в Samba"  +/
Сообщение от scorry (ok) on 24-Апр-16, 15:12 
> Ты наркоман что ли? Когда рухнула линуховая сеть из-за последнего обновления самбы,
> было принято решение отказаться от линуха совсем и это в достаточно
> крупной организации, сейчас постепенно выпиливаем его и ставим ось от мелкомягких,
> ибо задрало, что перед каждым обновлением систем нужно молиться, чтобы ничего
> не упало. Сейчас уже закупили лицензии осей от мелкомягких, ибо там
> обновления системы делают программисты-руками, а не криворукие школьники и гумнокодеры.

Кормишься, зелёное? :-) Не, ты тут не наешься.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

49. "Раскрыты детали уязвимости Badlock в Samba"  +/
Сообщение от Nobody (??) on 24-Апр-16, 15:35 
> Кормишься, зелёное? :-) Не, ты тут не наешься.

Да ты упopoт))


Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

19. "Раскрыты детали уязвимости Badlock в Samba"  –1 +/
Сообщение от nonecto on 13-Апр-16, 06:44 
тем не менее, ядро линукс динамили всё это время. А теперь ВАХ шайтан 4.5.1
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Раскрыты детали уязвимости Badlock в Samba"  +/
Сообщение от Аноним (??) on 13-Апр-16, 07:37 
Ща посмотрим на шапкину поддержку релиза до 2020го года
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Раскрыты детали уязвимости Badlock в Samba"  +1 +/
Сообщение от Аноним (??) on 13-Апр-16, 07:45 
Да, пофиксили, поддержка работает
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Раскрыты детали уязвимости Badlock в Samba"  +3 +/
Сообщение от Андрей (??) on 13-Апр-16, 09:15 
«... затрагивает почти все версии Windows и Samba».
Это, что «by design» что ли? Т.е. на уровне архитектуры и тех спеков, которые использут как разработчики windows, так и samba? o_O
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Раскрыты детали уязвимости Badlock в Samba"  +1 +/
Сообщение от КО on 13-Апр-16, 11:06 
Да протокол позволяет не требовать подписывать каждый пакет.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

43. "Раскрыты детали уязвимости Badlock в Samba"  +/
Сообщение от Noname (??) on 21-Апр-16, 23:45 
И как теперь организовывать безпарольный доступ к шарам и принтерам? Они че там с дуба рухнули? Где взять мануалы по настройке новой самбы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Раскрыты детали уязвимости Badlock в Samba"  +/
Сообщение от Nobody (??) on 23-Апр-16, 23:12 
> И как теперь организовывать безпарольный доступ к шарам и принтерам? Они че
> там с дуба рухнули? Где взять мануалы по настройке новой самбы?

Да им глубоко нас рать, они очередное глючилово выс рали, которое кто-то в тяжелом угаре писал, а вы товарищи кушайте это гумно половником)) Ставь ось от мелкомягких и не парься, один раз поставил и забыл, сейчас сеть с Win7 регулярно обновляеся и проблем нет, носимся как курица с яйцом только вокруг линуховых машин (Debian), там то одно отвалится, то другое не работает, одно поднимешь, другое упадет и так все время))


Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

50. "Раскрыты детали уязвимости Badlock в Samba"  +/
Сообщение от Noname (??) on 26-Апр-16, 10:19 
Да уж, закрыли дырку в безопасности и попутно окончательно поломали самбу, молодцы что тут скажешь. Так и придется наверное ставить Windows, если в ближайшее время не поправят.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру