URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 42025
[ Назад ]

Исходное сообщение
"OpenNews: В Samba и OpenSSL найдены уязвимости"
Отправлено opennews , 28-Май-08 17:32

В samba 3.0.28a, 3.0.29, а также более ранних версиях, присутствует (http://secunia.com/advisories/30228/) уязвимость, позволяющая злоумышленнику выполнить свой код на машине клиента, при попытки пользователя примонтировать SMB раздел. Проблеме подвержены также серверные конфигурации, злоумышленник может инициировать переполнение буфера, путем отправки специальным образом модифицированных пакетов nmbd серверу. Проблема вызвана ошибкой в коде парсинга SMB пакетов.

Кроме того, в библиотеке OpenSSL найдено (http://secunia.com/advisories/30405/) несколько проблем безопасности, которые можно использовать для вызова краха серверного или клиентского приложения, использующих OpenSSL реализацию протокола TLS. Проблема устранена в релизе OpenSSL 0.9.8h (http://openssl.org/), выпущенном несколько часов назад.
URL: http://secunia.com/advisories/30228/
Новость: http://www.opennet.me/opennews/art.shtml?num=16144

Содержание

В Samba и OpenSSL найдены уязвимости,Аноним, 17:32 , 28-Май-08
- В Samba и OpenSSL найдены уязвимости,Аноним, 17:44 , 28-Май-08
  - В Samba и OpenSSL найдены уязвимости,Аноним, 22:13 , 28-Май-08
    - В Samba и OpenSSL найдены уязвимости,mr.gr, 14:16 , 29-Май-08
В Samba и OpenSSL найдены уязвимости,Heckfy, 17:35 , 28-Май-08
В Samba и OpenSSL найдены уязвимости,Аноним, 20:26 , 28-Май-08
- В Samba и OpenSSL найдены уязвимости,KBAKEP, 23:17 , 28-Май-08
В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30,Аноним, 00:21 , 29-Май-08
- В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30,Аноним, 03:01 , 29-Май-08
В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30,Аноним, 09:46 , 29-Май-08
В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30,Аноним, 10:04 , 29-Май-08
- В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30,Аноним, 13:00 , 29-Май-08
В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30,Аноним, 11:42 , 29-Май-08
- В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30,Аноним, 16:46 , 29-Май-08

Сообщения в этом обсуждении

"В Samba и OpenSSL найдены уязвимости"
Отправлено Аноним , 28-Май-08 17:32

нужно ли обновлять пересобирать Apache с новой версией openssl ?

"В Samba и OpenSSL найдены уязвимости"
Отправлено Аноним , 28-Май-08 17:44

>нужно ли обновлять пересобирать Apache с новой версией openssl ?
Не нужно, если openssl скомпилирован с ключем shared. Просто перезапустите httpd.

"В Samba и OpenSSL найдены уязвимости"
Отправлено Аноним , 28-Май-08 22:13

>Не нужно, если openssl скомпилирован с ключем shared. Просто перезапустите httpd.
Ыгы.Введя команду killall =)

"В Samba и OpenSSL найдены уязвимости"
Отправлено mr.gr , 29-Май-08 14:16

>>Не нужно, если openssl скомпилирован с ключем shared. Просто перезапустите httpd.
>
>Ыгы.Введя команду killall =)
и что по вашему делает команда killall? а ну брысь в детсад обратно

"В Samba и OpenSSL найдены уязвимости"
Отправлено Heckfy , 28-Май-08 17:35

Не понятно, ошибка чего в самбе?
Если smbclient - то его можно починить.
Если сервера самбы, то это становится автоматически ошибкой клиентов. При чем, может быть и всех реализаций: можно будет ломать пользовательские машины, эмулируя некоторые действия кривой версии сервера.

"В Samba и OpenSSL найдены уязвимости"
Отправлено Аноним , 28-Май-08 20:26

>Не нужно, если openssl скомпилирован с ключем shared. Просто перезапустите httpd.
а Apache собирался с ключем --with-openssl=../path_to_openssl/
я так понимаю в таком случае нужно таки пересобрать с новым openssl?

"В Samba и OpenSSL найдены уязвимости"
Отправлено KBAKEP , 28-Май-08 23:17

>>Не нужно, если openssl скомпилирован с ключем shared. Просто перезапустите httpd.
>
>а Apache собирался с ключем --with-openssl=../path_to_openssl/
>
>я так понимаю в таком случае нужно таки пересобрать с новым openssl?
>
нет

"В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30"
Отправлено Аноним , 29-Май-08 00:21

почему ? ведь апач , в этой ситуации, использует уязвимый openssl и именно он, получается, подвержен этому: "a remote attacker could send a carefully crafted
packet to a server application using OpenSSL and cause it to crash."

"В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30"
Отправлено Аноним , 29-Май-08 03:01

>почему ? ведь апач , в этой ситуации, использует уязвимый openssl
http://en.wikipedia.org/wiki/Dynamic_library

"В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30"
Отправлено Аноним , 29-Май-08 09:46

понято, спасибо

"В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30"
Отправлено Аноним , 29-Май-08 10:04

почему же тут(предыдущий баг) рекомендуют пересобрать приложения использующие openssl ? http://www.openssl.org/news/secadv_20071012.txt

"В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30"
Отправлено Аноним , 29-Май-08 13:00

>почему же тут(предыдущий баг) рекомендуют пересобрать приложения использующие openssl ? http://www.openssl.org/news/secadv_20071012.txt
Они просто не стали углябляться в детали и уточнять, что пересобирать следует только то, что статически слинковано с OpenSSL :)
К тому же, если кто-то пересоберет приложение, динамически слинкованные с OpenSSL, то вреда от этого не будет (как, впрочем, и пользы). Так что, если Вы от этого будете чувствовать себя спокойнее, то можете и пересобрать свой Apache :)

"В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30"
Отправлено Аноним , 29-Май-08 11:42

при попыткЕ пользователя примонтировать SMB раздел

"В Samba и OpenSSL найдены уязвимости. Релиз Samba 3.0.30"
Отправлено Аноним , 29-Май-08 16:46

>при попыткЕ пользователя примонтировать SMB раздел
Ага, и штук пять лишних запятых из текста убрать. Смирись, Аноним, как смирился я.