Раскрыты (https://www.samba.org/samba/latest_news.html#4.4.2) подробности об анонсированной в марте уязвимости Badlock (http://badlock.org/) (CVE-2016-2118 (https://www.samba.org/samba/security/CVE-2016-2118.html)), которая затрагивает почти все версии Windows и Samba. Уязвимость оказалась не столько критичной (CVSS 7.1/6.4 из 10) как предполагалось и может быть использована для совершения MITM-атаки, при наличии у злоумышленника доступа к шлюзу или локальной сети клиента или сервера, или для инициирования удалённого отказа в обслуживании (DoS). Проблема устранена в выпусках Samba 4.4.2, 4.3.8 и 4.2.11 (исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращена), в которых также исправлено ещё семь уязвимостей (https://www.samba.org/samba/history/security.html).Суть уязвимости Badlock сводится к тому, что атакующий, способный перехватить DCERPC-трафик между клиентом и сервером, может отправить от имени клиента собственные команды и выполнить на сервере операции с данными в соответствии с привилегиями перехваченного пользователя. Наибольшую опасность представляют атаки, в результате которых может быть перехвачен трафик администратора контроллера домена, что позволяет злоумышленникам получить доступ к просмотру и изменению БД контроллера домена, в том числе к базе хэшей паролей. В случае обычного файлового сервера, атакующие могут изменить права доступа к файлам или директориям.
В рамках работы по устранению уязвимости в конфигурации представлена новая директива "allow dcerpc auth level connect", управляющая доступом к протоколу DCERPC при аутентификации только соединения (по умолчанию доступ запрещён). Также изменён применяемый по умолчанию уровень аутентифицированных привязок, вместо DCERPC_AUTH_LEVEL_CONNECT теперь предлагается DCERPC_AUTH_LEVEL_INTEGRITY, подразумевающий применения дополнительного контроля целостности по цифровой подписи не только при инициировании соединения, но и для каждого сообщения. Дополнительно администраторам рекомендовано применить настройки
"server signing = mandatory" и "ntlm auth = no", без которых угроза проведения MITM-атаки сохраняется для файловых серверов и классических контроллеров домена NT4/Samba3, но ценой включения данных настроек является значительное снижение производительности.Другие устранённые уязвимости:
- CVE-2015-5370 (https://www.samba.org/samba/security/CVE-2015-5370) (серия ошибок в коде DCE-RPC)- CVE-2016-2110 (https://www.samba.org/samba/security/CVE-2016-2110) (MITM-атака в реализации NTLMSSP)
- CVE-2016-2111 (https://www.samba.org/samba/security/CVE-2016-2111) (спуфинг NETLOGON)
- CVE-2016-2112 (https://www.samba.org/samba/security/CVE-2016-2112) (проблемы с включением проверки целостности в клиенте и сервере LDAP)- CVE-2016-2113 (https://www.samba.org/samba/security/CVE-2016-2113) (отсутствие проверки сертификата TLS)
- CVE-2016-2114 (https://www.samba.org/samba/security/CVE-2016-2115) (не применяется "server signing = mandatory")- CVE-2016-2115 (https://www.samba.org/samba/security/CVE-2016-2115) (отсутствие защиты целостности трафика SMB IPC)
URL: https://www.samba.org/samba/latest_news.html#4.4.2
Новость: http://www.opennet.me/opennews/art.shtml?num=44229
> (исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращена),Идиотизм. Разработчики софта и дистрибутивов живут на разных планетах, по видимому.
До боли напоминает подход шиндоус.
То есть распространение бытовых роутеров, с прошивкой "до марта" с этого момента приравнивать к распространению наркотиков, пересажать все ОПГ - которыми станут крупные сети, а всех у кого дома найдут роутер отстранить от управления тс, поставить на учет и принудить пройти курс лечения, ага.
А роутеры всё равно не обновляют, даже если обновление от разработчика выйдет.
Ну, так-то на них и дефолтный пароль не меняют. Вопрос обширный, но если проводить аналогии, то даже если въехать в новую квартиру и не сменить замки, то полиция заявление о краже из квартиры примит, а вот кража номера кредитки с компа, вообще не преступление, вора посадят только если за руку поймают, а халатность, или тупость, или злой умысел, производителей, распространителей или пользователей до лампочки. Была бы воля навести порядок, а расписать что-да-как дело не хитрое.
> Ну, так-то на них и дефолтный пароль не меняют.Ну это не везде, поверьте.
Ты готов убивать любого, чьё мнение отличается от твоего? "Какой твоё любимый цвет?" "Красный" "Умри, сволочь!" А что если ты фанат полит. партии X, а твоя родная мама проголосует за партию Y? Ты откажешься от мамы?
конечно! зачем такая мама? другую найду.
Так шлите же патчи!PS 2 greg: таким обычно дистрибутивы занимаются.
Даже в centos 4.2
Было бы прикольно, если бы пользователи устаревшей самбы при подключении шары ловили в лог "This software is outdated!!! Please upgrade!!!".
>пользователи
>в логКак там у вас, в Валиноре, погодка?
А что такого? Прилетит им в лог, но они его не будут смотреть.
Ну зачем тайбомбу в лог.. лучше сразу на экран как xscreensaver. "Я устарел. Я мухожук. Срочно обновите. Ибо код писать мы не умеем и в нашей поделке стопудово куча дыр". Особенно органично смотрится на линукс-терминале. Это же просто мечта, чтобы софт не выполнял свою задачу, а гадил алертами. Даешь идею в апстрим!
Ну вот банальный MITM и DoS, а столько шуму устроили, даже имя отдельное для уязвимости выдумали.То ли дело прошлогодняя дыра http://www.opennet.me/opennews/art.shtml?num=41713 без громких имён, но зато даёт возможность выполнить свой код на стороне сервера с правами root через отправку сетевого пакета.
> Ну вот банальный MITM и DoS, а столько шуму устроили, даже имя отдельное для уязвимости выдумали.Это потому, что прошлогодняя дыра затрагивала только самбу, а это и винду тоже.
Страх и истерия - хлеб для всяких "экспертов по безопасности".
> Страх и истерия - хлеб для всяких "экспертов по безопасности".В данном случае есть повод. Можно перехватить управление IT в большой компании с множеством филиалов. Это слабое место технологий типа AD: взлом контроллера домена эквивалентен взлому всех машин домена. Все это используется в множестве компаний из Fortune top 500 и не только. Они будут рады новым "техническим директорам".
Этот банальный MITM позволяет небанально получить права enterprise admin в active directory. Админ всех компьютеров домена. Поставить троянца на все 2000 компьютеров организации - с такими правами банально. Столь же банально сменить всей компании пароли. После этого админы дружно лишатся прав, а надежно выставить злоумышленника из большой сети с филиалами в разных городах станет почти невозможно. Так выглядит АД любителей AD.
>>способный перехватить DCERPC-трафикЧеловек имеющий слепок ключей от машины таки сможет её открыть.
>>в результате которых может быть перехвачен трафик администратора контроллера домена,
Вы все еще сидите под root?
> Вы все еще сидите под root?Новости внимательно не читаем ? Проблем в реализации протокола ,то есть затрагивает и виндовс, и в принципе если как писали что в Маке SMB работает на основе библиотек SAMBы,может затрагивать и Эпл компьютеры.
У apple своя SMBX
Сомневаюсь, что подвержена этой уязвимости.
> Новости внимательно не читаем ? Проблем в реализации протокола ,то есть затрагивает
> и виндовсМы да. А вы нет. Если существует "трафик администратора контроллера домена", значит кто-то сидит под Администратором домена. Что есть антипаттерн. О чем и написал предыдущий оратор.
Представь себе, администратор AD иногда логинится, по делам администраторским. Этого достаточно чтобы перехватить управление инфраструктурой. Вообще всей.
> исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращенагорячо передают привет:
* Debian 8 от 2015 года с 4.1
* Ubuntu LTS от 2014 года с 4.0CentOS 7 не передаёт, там 4.2.
А это проблемы мейнтейнеров дистрибутивов. Если у дистра политика "долго поддерживать", то бэкпортируют фиксы самостоятельно.
> А это проблемы мейнтейнеров дистрибутивов. Если у дистра политика "долго поддерживать",
> то бэкпортируют фиксы самостоятельно.Да, скорее всего, дебианщики быстро сделают, убунтушники быстро к себе утащат, всё будет хорошо.
а вот и нет. samba выпустила патчи и для старых выпусков: https://www.samba.org/samba/history/security.htmlно это именно патчи, а релиз с новой циферкой не сделала.
ubuntu-server 16.04samba-4.3
азазаза
Ubuntu LTS от 2014 года с 4.1
centos 7 от 2014 с 4.2
ОПС?
Я не понял при чем тут Обязательное Пенсионное Страхование, но centos 7 позже вышел, так что логично.
* Ubuntu LTS от 2012 годаДолжна же ещё поддерживаться
Для Debian будут выпущены обновлённые версии для Wheezy (oldstable) и Jessie (текущий stable).Сегодня тестировал пакеты по просьбе разработчиков (https://lists.debian.org/debian-security/2016/04/msg00040.html).
Хреново тестировал, в новой самбе багов больше чем во всем Linux вместе взятом. Теперь невозможно зайти без пароля на компьютеры с OS Windows 7-10, тоже самое с локальными принтерами. Другой баг заключается в том, что самба через какое-то время перестает отображать всю сеть, только после многочисленных рефрешей снова показывает. ИМХО за такое качество ПО я бы руки разрабам оторвал, разве что оно бесплатное и типа никто никому ничего не должен. Хотя в таком случае пусть и дальше могилу роют свободному программному обеспечению, с таким подходом чувствую конец скоро. Похоже этих го в но кодеров с работы повыгоняли, теперь они за самбу принялись от нехрен делать.
> ... с таким подходом чувствую конец скоро.Вряд ли. Ты же живой, а твоё существование доказывает, что даже нежизнеспособные системы сопротивляются исчезновению.
Ты наркоман что ли? Когда рухнула линуховая сеть из-за последнего обновления самбы, было принято решение отказаться от линуха совсем и это в достаточно крупной организации, сейчас постепенно выпиливаем его и ставим ось от мелкомягких, ибо задрало, что перед каждым обновлением систем нужно молиться, чтобы ничего не упало. Сейчас уже закупили лицензии осей от мелкомягких, ибо там обновления системы делают программисты-руками, а не криворукие школьники и гумнокодеры.
> Ты наркоман что ли? Когда рухнула линуховая сеть из-за последнего обновления самбы,
> было принято решение отказаться от линуха совсем и это в достаточно
> крупной организации, сейчас постепенно выпиливаем его и ставим ось от мелкомягких,
> ибо задрало, что перед каждым обновлением систем нужно молиться, чтобы ничего
> не упало. Сейчас уже закупили лицензии осей от мелкомягких, ибо там
> обновления системы делают программисты-руками, а не криворукие школьники и гумнокодеры.Кормишься, зелёное? :-) Не, ты тут не наешься.
> Кормишься, зелёное? :-) Не, ты тут не наешься.Да ты упopoт))
тем не менее, ядро линукс динамили всё это время. А теперь ВАХ шайтан 4.5.1
Ща посмотрим на шапкину поддержку релиза до 2020го года
Да, пофиксили, поддержка работает
«... затрагивает почти все версии Windows и Samba».
Это, что «by design» что ли? Т.е. на уровне архитектуры и тех спеков, которые использут как разработчики windows, так и samba? o_O
Да протокол позволяет не требовать подписывать каждый пакет.
И как теперь организовывать безпарольный доступ к шарам и принтерам? Они че там с дуба рухнули? Где взять мануалы по настройке новой самбы?
> И как теперь организовывать безпарольный доступ к шарам и принтерам? Они че
> там с дуба рухнули? Где взять мануалы по настройке новой самбы?Да им глубоко нас рать, они очередное глючилово выс рали, которое кто-то в тяжелом угаре писал, а вы товарищи кушайте это гумно половником)) Ставь ось от мелкомягких и не парься, один раз поставил и забыл, сейчас сеть с Win7 регулярно обновляеся и проблем нет, носимся как курица с яйцом только вокруг линуховых машин (Debian), там то одно отвалится, то другое не работает, одно поднимешь, другое упадет и так все время))
Да уж, закрыли дырку в безопасности и попутно окончательно поломали самбу, молодцы что тут скажешь. Так и придется наверное ставить Windows, если в ближайшее время не поправят.