Представлена (http://permalink.gmane.org/gmane.network.samba.announce/245) внеплановая порция обновлений Samba - 3.6.4 (http://www.samba.org/samba/ftp/history/samba-3.6.4.html), 3.5.14 (http://www.samba.org/samba/ftp/history/samba-3.5.14.html) и  3.4.16 (http://www.samba.org/samba/ftp/history/samba-3.4.16.html), в которых устранена критическая уязвимость (http://www.samba.org/samba/security/CVE-2012-1182) (CVE-2012-1182), позволяющая удалённому злоумышленнику выполнить свой код с правами пользователя root. Для успешной эксплуатации уязвимости не требуется прохождение стадии аутентификации, атака может быть осуществлена анонимным не аутентифицированным злоумышленником при наличии доступа к сетевому порту Samba. По оценке разработчиков, выявленная проблема является одной из наиболее серьёзных уязвимостей за всю историю проекта.

Проблеме подвержены все версии Samba с 3.0.x по 3.6.3 включительно. Всем пользователям Samba рекомендуется в экстренном порядке провести обновление до представленных корректирующих выпусков. Для уже не поддерживаемых веток Samba подготовлены патчи (http://samba.org/samba/patches/). Пакеты с устранением уязвимости пока недоступны, проследить выход обновлений для популярных дистрибутивов можно на данных страницах:  FreeBSD (http://www.vuxml.org/freebsd/), Ubuntu (https://lists.ubuntu.com/archives/ubuntu-security-announce/2.../), Gentoo (http://www.gentoo.org/security/), Slackware (http://www.slackware.com/security/list.php?l=slackware-secur...), Mandriva (http://www.mandriva.com/en/security/advisories?dis=2011), openSUSE (http://lists.opensuse.org/opensuse-security-announce/2012-04/), CentOS (http://lists.centos.org/pipermail/centos-announce/2012-April...), Fedora (https://admin.fedoraproject.org/updates/F16/security), RHEL (http://rhn.redhat.com/errata/rhel-server-errata.html) и Debian (http://www.debian.org/security/). Кроме патча обходного пути решения проблемы не найдено, можно только закрыть доступ к порту Samba. В качестве крайней меры можно ограничить доступ к порту для доверительных хостов при помощи опции "hosts allow" в smb.conf, но это не поможет от атаки с поддельного IP-адреса.

Уязвимость была выявлена участниками программы Zero Day
Initiative, т.е. не исключено наличие 0-day эксплоита в диком виде. Проблема вызвана ошибкой в генераторе кода для механизма RPC (Remote Procedure Call), которая приводит к формированию небезопасного кода, участвующего в осуществлении передаваемых по сети RPC-вызовов. В результате ошибки проверка переменной через которую передаётся размер массива и проверка переменной с запрошенной под этот массив памятью производятся независимо друг от друга. Значение обеих переменных устанавливаются на стороне клиента и полностью контролируются им. Таким образом создаётся возможность передачи массива заведомо большего размера, чем может вместить выделенный под него буфер, что приведёт к наложению "хвоста" массива на другие структуры данных.

URL: http://permalink.gmane.org/gmane.network.samba.announce/245
Новость: http://www.opennet.me/opennews/art.shtml?num=33574

• В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 22:48 , 10-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 23:19 , 10-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 22:57 , 10-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,дядя, 23:42 , 10-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 23:56 , 10-Апр-12
      • В Samba устранена одна из самых опасных уязвимостей за всю и...,фклфт, 05:59 , 11-Апр-12
        • В Samba устранена одна из самых опасных уязвимостей за всю и...,savant, 12:08 , 11-Апр-12
        • В Samba устранена одна из самых опасных уязвимостей за всю и...,fx, 12:46 , 11-Апр-12
          • В Samba устранена одна из самых опасных уязвимостей за всю и...,Vlad, 22:06 , 14-Апр-12
            • Samba fixes one of the most dangerous vulnerabilities,Michael Shigorin, 22:14 , 14-Апр-12
      • В Samba устранена одна из самых опасных уязвимостей за всю и...,MyH, 06:52 , 11-Апр-12
        • В Samba устранена одна из самых опасных уязвимостей за всю и...,Frank, 10:15 , 11-Апр-12
          • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 20:12 , 11-Апр-12
            • В Samba устранена одна из самых опасных уязвимостей за всю и...,Куяврик, 20:49 , 11-Апр-12
            • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 14:11 , 12-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 00:03 , 11-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,Гость, 06:08 , 11-Апр-12
      • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 07:50 , 11-Апр-12
      • В Samba устранена одна из самых опасных уязвимостей за всю и...,Ваня, 11:14 , 11-Апр-12
        • В Samba устранена одна из самых опасных уязвимостей за всю и...,ванядупп, 13:43 , 11-Апр-12
        • В Samba устранена одна из самых опасных уязвимостей за всю и...,pahan, 15:28 , 11-Апр-12
        • В Samba устранена одна из самых опасных уязвимостей за всю и...,XoRe, 00:21 , 12-Апр-12
        • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 14:17 , 12-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 03:00 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,iFRAME, 09:15 , 11-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,Frank, 12:48 , 11-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,Michael Shigorin, 15:18 , 13-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 23:18 , 10-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 08:59 , 11-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,EuPhobos, 23:18 , 10-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 23:54 , 10-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,all_glory_to_the_hypnotoad, 00:51 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,klalafuda, 00:09 , 11-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 00:49 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Денис, 10:53 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,x0r, 13:21 , 11-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,EuPhobos, 14:05 , 11-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,тоже Аноним, 23:18 , 10-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,klalafuda, 00:11 , 11-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,hmm, 01:39 , 11-Апр-12
      • В Samba устранена одна из самых опасных уязвимостей за всю и...,iFRAME, 09:22 , 11-Апр-12
        • В Samba устранена одна из самых опасных уязвимостей за всю и...,ананим, 13:25 , 11-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,klalafuda, 00:05 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 00:15 , 11-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,Michael Shigorin, 02:15 , 11-Апр-12
      • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 03:15 , 11-Апр-12
        • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 05:02 , 11-Апр-12
          • В Samba устранена одна из самых опасных уязвимостей за всю и...,XPEH, 11:46 , 11-Апр-12
            • В Samba устранена одна из самых опасных уязвимостей за всю и...,XoRe, 00:26 , 12-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,anonanon, 18:31 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Alex, 00:17 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,samm, 00:17 , 11-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,fa, 01:00 , 11-Апр-12
      • В Samba устранена одна из самых опасных уязвимостей за всю и...,hmm, 01:47 , 11-Апр-12
        • В Samba устранена одна из самых опасных уязвимостей за всю и...,samm, 10:17 , 11-Апр-12
          • В Samba устранена одна из самых опасных уязвимостей за всю и...,ананим, 13:32 , 11-Апр-12
            • В Samba устранена одна из самых опасных уязвимостей за всю и...,samm, 15:26 , 11-Апр-12
              • В Samba устранена одна из самых опасных уязвимостей за всю и...,ананим, 01:21 , 12-Апр-12
                • В Samba устранена одна из самых опасных уязвимостей за всю и...,samm, 02:38 , 12-Апр-12
                  • В Samba устранена одна из самых опасных уязвимостей за всю и...,ананим, 11:08 , 12-Апр-12
                    • В Samba устранена одна из самых опасных уязвимостей за всю и...,samm, 11:19 , 12-Апр-12
              • В Samba устранена одна из самых опасных уязвимостей за всю и...,ананим, 01:27 , 12-Апр-12
                • В Samba устранена одна из самых опасных уязвимостей за всю и...,samm, 02:42 , 12-Апр-12
                  • В Samba устранена одна из самых опасных уязвимостей за всю и...,ананим, 11:11 , 12-Апр-12
                    • В Samba устранена одна из самых опасных уязвимостей за всю и...,ананим, 11:13 , 12-Апр-12
                    • В Samba устранена одна из самых опасных уязвимостей за всю и...,samm, 11:41 , 12-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,zazik, 19:28 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Pahanivo, 08:57 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Денис, 10:56 , 11-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,klalafuda, 11:26 , 11-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,Anonim, 01:00 , 11-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,Андрей, 01:45 , 11-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,Andrey Mitrofanov, 09:32 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 10:15 , 11-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,ALex_hha, 11:52 , 11-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,robux, 11:58 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,robux, 11:58 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,klalafuda, 13:12 , 11-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,robux, 19:20 , 12-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 13:15 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 01:12 , 12-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним2, 15:21 , 12-Апр-12
      • В Samba устранена одна из самых опасных уязвимостей за всю и...,Michael Shigorin, 14:56 , 13-Апр-12
    • В Samba устранена одна из самых опасных уязвимостей за всю и...,Michael Shigorin, 14:52 , 13-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,pavlinux, 14:57 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,samm, 15:22 , 11-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,Евлампий, 19:47 , 11-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Grem, 00:48 , 12-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,Nxx, 03:56 , 12-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,Аноним, 04:07 , 12-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,klalafuda, 12:47 , 12-Апр-12
  • В Samba устранена одна из самых опасных уязвимостей за всю и...,Michael Shigorin, 15:46 , 13-Апр-12
• В Samba устранена одна из самых опасных уязвимостей за всю и...,Пр0х0жий, 13:49 , 12-Апр-12

Sasser? Msblast?

> Sasser? Msblast?

Msblast - *nix edition :D

> По оценке разработчиков, выявленная проблема является одной из наиболее серьёзных уязвимостей за всю историю проекта.

Хм. А в мелокомягкой реализации SMB такие дыры закрывают раз в полгода, и еще пачка незакрытых висит, и ничего.

чюшь

> чюшь

А вот и понабежали win-админы, не читающие ни security-анонсов, ни даже учебников по русскому языку :)

>> чюшь
> А вот и понабежали win-админы, не читающие ни security-анонсов, ни даже учебников
> по русскому языку :)

Да дело даже не в админах а в том что если начинать припоминать все подобные случаи хотя бы за последний год то уже наберется не мало
Я еще раз повторяю - это не ошибка в самбе а такая фитча, которая была в FTP, Apache и так далее
Сейчас все в срочном порядке ринутся обновлять сервера а потом выяснится что исправили одну такую фитчу но добавили немного другую
Фитча, это не ошибка в реализации !

жуть. и эти люди админят сервера...

фиТча это что?

Oh, come on man.. Even English speakers can get it. Feature is what he meant. Don't be a dick.

There's a reason for the poster you defend to get some humiliation: his lack of literacy is correlating nicely with his advocacy of Microsoft Widows.  You should have read the forum rules either having just breached one of these: http://wiki.opennet.ru/ForumHelp

Анонсы читаю, венду не админю. Действительно чушь - там такое относительно редкое явление. На моей памяти было 2 раза.

> На моей памяти было 2 раза.

Память у тебя... девичья... Вот, навскидку, уже дюжина рапортов, в каждом от одной дырки и более:
http://secunia.com/advisories/44898/
http://secunia.com/advisories/44072/
http://secunia.com/advisories/43299/
http://secunia.com/advisories/40935/
http://secunia.com/advisories/39372/
http://secunia.com/advisories/38510/
http://secunia.com/advisories/38500/
http://secunia.com/advisories/32633/
http://secunia.com/advisories/32249/
http://secunia.com/advisories/31883/
http://secunia.com/advisories/11634/
http://secunia.com/advisories/9225/

Так мне представит кто-нить рабочий способ поломать самбу на винде с последними обновлениями? Что скачать, что запустить? Поподробней!

очень похоже на "у меня свежий памперс и новый дезодорант, кто почует запах диарреи?" а последние 10 раз не в счёт, не

> Так мне представит кто-нить рабочий способ поломать самбу на винде с последними
> обновлениями? Что скачать, что запустить? Поподробней!

А ты кто? Почему именно тебе, чем ты заслужил такую честь? Почему ты хочешь этого бесплатно, когда другие платят? Причем тут вообще самба на винде? Почему такие скрипт-киддисы как ты вообще тут что-то пишут?

Достаточно подробно?

Не так давно в windows закрыли уязвимость из-за которой можно одним пакетом из сети пешком в систему ..

Ссылку в студию !

> Ссылку в студию !

Читать надо секюрлисты, тогда и не нужно будет с недоверием кричать про ссылки. держи: http://technet.microsoft.com/ru-ru/security/bulletin/ms11-083

Для эксплуатации уязвимости необходимо:
1. админ должен явно добавить в брандмауэр исключение на UDP порт
2. на данный порт не должны приходить пакеты
3. злоумышленник должен отправить 4,3 млрд. (2 в 32) пакетов чтобы обнулился счётчик пакетов; это потребует где-то 60 Гб траффика и неделю непрерывной посылки

>2. на данный порт не должны приходить пакеты
>3. злоумышленник должен отправить 4,3 млрд. пакетов

Злоумышленник должен отправить, но пакеты не должны приходить...

>это потребует где-то 60 Гб траффика и неделю непрерывной посылки

если на 14400 и xmodem`ом, то да... :)

Счетчик где?
Сначала рубит Cisco, далее - ipfw потом и сама самба.

А вообще на кой открывать самбу на весь белый свет? принтеры и файловая свалка должна жить только внутри конторы.

это потребует где-то 60 Гб траффика и неделю непрерывной посылки

Сутки.
Скорость трафика сделать около метра в секунду, чтобы не палиться особо.
И вы не представляете, сколько в инете виндовых серверов, за которыми следят хуже среднего.

Мне так нравится, когда сначала орут "не может такого быть, дайте ссылку, а то мы не умеем гуглить!". А когда им дают ссылку начинается "Ой, да это вообще нереально эксплуатировать!".

Примечательно то, что когда remote execution находят где-то кроме винды, в каментах такого накала идиотизма нет, что как бы символизирует средний уровень виндовых админов.

Чистая правда.

про парочку незакрытых поподробнее пожалуйста и со ссылками на пруфы, конечно.

> про парочку незакрытых поподробнее пожалуйста и со ссылками на пруфы, конечно.

Vulnerability Report: Microsoft Windows XP Professional
...
Unpatched     11% (43 of 388 Secunia advisories)

Most Critical Unpatched
The most severe unpatched Secunia advisory affecting Microsoft Windows XP Professional, with all vendor patches applied, is rated Highly critical
Из непропатченных, наример:
http://secunia.com/advisories/42527/
http://secunia.com/advisories/41986/
http://secunia.com/advisories/41984/
http://secunia.com/advisories/41136/
http://secunia.com/advisories/21377/
http://secunia.com/advisories/20061/ (обещали пофиксить в SP3, но видимо "забыли")
http://secunia.com/advisories/15064/
http://secunia.com/advisories/7824/

Во всех этих случаях solution примерно таков:
Solution
Do not open untrusted files.

Provided and/or discovered by
Known, documented bug in Windows.

Дополнительно, интересные непофикшенные баги секурности:
http://secunia.com/advisories/40825/
http://secunia.com/advisories/40636/
http://secunia.com/advisories/31824/

http://secunia.com/advisories/38916/
Solution
Avoid pressing F1 inside documents or images placed in untrusted directories.
:)

http://secunia.com/advisories/36597/
Solution
According to the vendor, no patches will be made available for Windows 2000 as it would require re-architecting a significant amount of the OS.

http://secunia.com/advisories/23487/
Solution
Filter NetrWkstaUserEnum RPC requests with a large maxlen value.

http://secunia.com/advisories/22592/
Solution
Use another way of sharing the Internet connection.

http://secunia.com/advisories/17595/
Solution
Restrict access to the affected systems using a firewall.

http://secunia.com/advisories/14061/
http://secunia.com/advisories/10968/
http://secunia.com/advisories/10066/
http://secunia.com/advisories/9921/
http://secunia.com/advisories/8635/
Solution
Grant only trusted users access to affected systems.

http://secunia.com/advisories/13645/
Solution
3) Do not visit untrusted web sites and don't open documents from untrusted sources.

http://secunia.com/advisories/12670/
http://secunia.com/advisories/10708/
http://secunia.com/advisories/9799/
http://secunia.com/advisories/7793/

Solution
Secunia is currently not aware of a solution.
There's no effective solution available.
Эти дыры никогда не будут пофикшены.

> про парочку незакрытых поподробнее пожалуйста и со ссылками на пруфы, конечно.

По поводу Вашего аналогичного #52:
> PS Кто здесь все время мои сообщения трет?

Не знаю, но неудивительно: берётесь обсуждать тему по безопасности, так копните ну хотя бы чуточку.  Также хорошо бы не постить дубликаты, см. тж. http://wiki.opennet.ru/ForumHelp

> в генераторе кода для механизма RPC

RPC как оказалось, ДЕЙСТВИТЕЛЬНО позволяет удаленный вызов процедур. Любых! :)

Это и так все знаю. Windows тому пример

Вот же блин! А я через инет шару прокинул с домашнего медиацентра на точечные IP-шки!!
Хорошо, что моя сисадминская паранойя заставила меня настроить iptables за долго до samba .. фух..

Пора переходить на nfs

> Пора переходить на nfs

NFS тоже на RPC работает, так что наличие там подобных дыр тоже не исключено.

там совсем другой rpc, он топорный и с его помощью почти ничего нельзя сделать.

Что мешает выставить sftp? Если он конечно есть на медиацентре.

оно заброшено несколько лет назад

> Вот же блин! А я через инет шару прокинул с домашнего медиацентра
> на точечные IP-шки!!

Советую использовать vpn-тоннели

шарить можно через ssh и проброс портов.
ssh на нестандартный порт или даже с использованием port knocking

ssh не годиться для шаринга.. Слишком жрёт и без того нагруженный слабенький проц..
Особенно если sshfs-ом присосались до 3 человек, разница очень ощутима..

Тут либо сабма/nfs, либо некриптованное туннелирование.
Ибо криптовать медиатрафик смысла вообще нет.

Ну, заголовок можно и перефразировать. Например, "совместимость Samba с MS Windows до последнего времени, оказывается, была намного лучше, чем предполагали разработчики"...

> Ну, заголовок можно и перефразировать. Например, "совместимость Samba с MS Windows до последнего времени, оказывается, была намного лучше, чем предполагали разработчики"...

Венду AFAIR ужа давно не ломали через именно баги в SMB. Так что ребята шагнули существенно дальше оригинала :)

http://technet.microsoft.com/en-us/security/bulletin/ms08-063
>This security update resolves a privately reported vulnerability in Microsoft Server Message Block (SMB) Protocol. The vulnerability could allow remote code execution on a server that is sharing files or folders. An attacker who successfully exploited this vulnerability could install programs; view, change, or delete data; or create new accounts with full user rights.

версии винды от 2000 sp4 до Windows Server 2008
http://watchguardsecuritycenter.com/2011/02/16/zero-day-smb-.../
>Zero Day SMB Vulnerability Affects Windows Server 2003 and XP February 16, 2011

зыж
гугл вообще дофига чего по vulnerability+smb+windows выдаёт.

> http://technet.microsoft.com/en-us/security/bulletin/ms08-063
>>This security update resolves a privately reported vulnerability in Microsoft Server Message Block (SMB) Protocol. The vulnerability could allow remote code execution on a server that is sharing files or folders. An attacker who successfully exploited this vulnerability could install programs; view, change, or delete data; or create new accounts with full user rights.
> версии винды от 2000 sp4 до Windows Server 2008
> http://watchguardsecuritycenter.com/2011/02/16/zero-day-smb-.../
>>Zero Day SMB Vulnerability Affects Windows Server 2003 and XP February 16, 2011
> зыж
> гугл вообще дофига чего по vulnerability+smb+windows выдаёт.

Published: Tuesday, October 14, 2008 (!!!)
This security update resolves (!) a privately reported vulnerability in Microsoft Server Message Block (SMB) Protocol.

Недавно - в 2008 году? Вы жжоте, сударь. Дырка закрыта, что Вам еще нужно?

Мне сударь ничего не нужно.
Только факты.
А они есть. В частности эта дыра (да какая дыра? Дверь) просуществовала минимум 8 лет.

Я бы не стал так уж сильно преувеличивать опасность. Несомненно, она есть, но внешняя атака на внутрисетевые причем именно Samba сервера - это мягко говоря экзотика. Даже при наличии в паблике рабочего эксплойта. И случайно нарваться на такие вещи скорее всего не получится. Естественно предполагается, что самбы в локалке надежно отсечены от внешней сети и тд и тп. Тем же, у кого они светят наружу... у них и так, уверен, жизнь весьма разнообразна :)

Мне вот тоже интересно стало, кто-нибудь видел вживую чтобы SMB торчала в сеть открыто?

> Мне вот тоже интересно стало, кто-нибудь видел вживую чтобы SMB торчала в
> сеть открыто?

Провайдер.  У него и оборудование на сей счёт проинструктировано, как правило...

Что за провайдер, не подскажете? xD

> Что за провайдер, не подскажете? xD

Да почти все провы SMB давят нафиг - больно уж через него взломов дохрена по жизни было.

Да наплевать провайдерам на взломы, зато количество nat-трансляций и размеры логов netflow их весьма волнует.

> Да наплевать провайдерам на взломы, зато количество nat-трансляций и размеры логов netflow
> их весьма волнует.

Когда трафик платный, провайдерам (особенно небольшим) не наплевать.
Большим провайдерам с безлимитными тарифами тоже не наплевать.
Взломанные и затрояненные машины генерят очень неплохой исходящий трафик на 25 порт - засаживают подсети провайдера в черные списки.

\\live.sysinternals.com -- вот оно, вживую.

Согласен на все 100%
Кто на продакшн серверах ставит самбу? Да еще с открытыми шарами.
Как правило самба серверы находятся во внутренних сетях, которые отсечены от мира файрволами.

Что за бред. "Преувеличивать опасность". Вы действительно доверяете всем пользователям в организации? Интересно, кстати, какой процент железных решений с самбой внутри (НАС-ы, некоторые принтера и многое другое) отреагирует.

> Что за бред. "Преувеличивать опасность". Вы действительно доверяете всем пользователям
> в организации? Интересно, кстати, какой процент железных решений с самбой внутри
> (НАС-ы, некоторые принтера и многое другое) отреагирует.

Вот-вот. Я тоже про мелкие железячки в первую очередь подумал

а чё там думать то?
ставить надыть. ipkg upgrade|install
не, ну если вы как ваня выше - только веб-морду и знаете, то да, тяжко таким.
но такие на мой взгляд з/п зря получают. только винду переустанавливать и научились.

На многих железках нет ни то, что ipkg (монолитный раздел, например), а даже рут доступа. Ещё и и самба может быть древняя с вендорскими изменениями. А вендор мог давно и счастливо помереть.

Хм. Такой нас нам не мужен.
Я проверяю что покупаю.

> Хм. Такой нас нам не мужен.
> Я проверяю что покупаю.

да онониме, если работать в большой организации из 3 человек дома - так и бывает, всё можно проверить. Кстати, даже в одних из самых открытых устройств для модификаций, Synology NAS, самба не из ipkg, и насколько я помню - модифицированная. Вот и посмотрим как скоро будет новая версия DSM, особенно для end of life железяк. Про принтеры я уже писал - обрезанная самба в том или ином виде мне встречалась в них неоднократно.

> да онониме, если работать в большой организации из 3 человек дома

Хм. И как я не догадался?
Сохо насы по 3 копейки — это ведь как раз для крутых перцев из не менее крутых контор.
Самому не смешно?

>> да онониме, если работать в большой организации из 3 человек дома
> Хм. И как я не догадался?
> Сохо насы по 3 копейки — это ведь как раз для крутых
> перцев из не менее крутых контор.
> Самому не смешно?

1) не смешно. У конторы могут быть филиалы. Ставить туда что-то сильно дорогое - ненужная трата денег.
2) Чего это "по 3 копейки"? Куча брендов выпускает юнитовские с хотплагом, блекджеком и шлюхами.
3) Куча железа обычно достается в наследство. У меня вот вообще как-то был относительно дорогой сегейтовский девайс без рута и наверняка с самбой внутри.

>1) не смешно. У конторы могут быть филиалы. Ставить туда что-то сильно дорогое - ненужная трата денег.

ставьте проверенно и одобренное центром решение
>2) Чего это "по 3 копейки"? Куча брендов выпускает юнитовские с хотплагом, блекджеком и шлюхами.

где есть куча способов настройки и установки всего, что нужно.
>3) Куча железа обычно достается в наследство. У меня вот вообще как-то был относительно дорогой сегейтовский девайс без рута и наверняка с самбой внутри.

вот когда спИцЫалисты начнут ТОЧНО знать, что там внутри, тогда не будет поводов для подобных оправданий.
которые в сочетании с надутыми щёками могут произвести впечатление разве что на шефа, далёкого от ИТ.
я понимаю, если бы написали - я беру откаты и за откаты, какая вам тут установка сабы.
вот это я бы ещё понял. хоть как то.
а всё остальное - лень, халтура и российское распиНдяйство.

> вот когда спИцЫалисты начнут ТОЧНО знать, что там внутри, тогда не будет
> поводов для подобных оправданий.

Я повторюсь - сразу видно предельный размер организаций в которых вы работали.
Он - небольшой. Иначе бы вы знали, сколько всего изменить уже нельзя. Тем более, что организация обычно начала работать сильно до того, как вы в неё пришли ))

> которые в сочетании с надутыми щёками могут произвести впечатление разве что на
> шефа, далёкого от ИТ.
> я понимаю, если бы написали - я беру откаты и за откаты,
> какая вам тут установка сабы.

Ну вот и хамство пошло.

> вот это я бы ещё понял. хоть как то.
> а всё остальное - лень, халтура и российское распиНдяйство.

Так, для справки - я не живу и не работаю в России, откаты не давал и не брал.

Зыж
Про принтеры с самбой — пруф на модель.
Ззыж
Самба из оптваре отлично ставится и работает вместо вшитой.
Но откуда это знать крутым перцам из крутых контор — они никогда не знают что покупают и как это работает.

> Зыж
> Про принтеры с самбой — пруф на модель.
> Ззыж
> Самба из оптваре отлично ставится и работает вместо вшитой.
> Но откуда это знать крутым перцам из крутых контор — они никогда
> не знают что покупают и как это работает.

Да, кстати, оптваря пока не обновлена, так что в данный момент это игра в "собери сам". И я писал выше - там модифицированная самба. Просто грипните по "syno" бинарник, это очень хорошо видно. И то, что замена её на обычную _что_то может запросто сломать - чуть более чем вероятно. Что касается модели - сходу не помню, какой-то мультифанкшионал юнит от минолты, точнее даже не он - а отдельный модуль с жестким диском, который туда докупался и работал принтсервером. Я его интереса для ковырял - и обнаружил там в т.ч. самбу, вероятно для интеграции с АД. Думаю, что такого говна в ембедах - немало.

>Да, кстати, оптваря пока не обновлена,

это да.
>И то, что замена её на обычную _что_то может запросто сломать

я же писал - отлично работает.
нету там никаких модификаций. руки у железячников коротки такие проекты как самба кастомизячить. ребрендинг разве что.

зыж
хотя у меня уже появились
# ipkg list|grep samba
samba - 3.2.15-4 - Samba suite provides file and print services to SMB/CIFS clients.
samba2 - 2.2.12-4 - Lightweight Samba suite provides file and print services to SMB/CIFS clients.
samba3-dev - 3.2.15-4 - development files for samba3
samba3-swat - 3.2.15-4 - the Samba Web Admin Tool for samba3
samba34 - 3.4.16-1 - Samba suite provides file and print services to SMB/CIFS clients. This is a newer version.
samba34-dev - 3.4.16-1 - development files for samba34
samba34-swat - 3.4.16-1 - the Samba Web Admin Tool for samba34
samba35 - 3.5.14-1 - Samba suite provides file and print services to SMB/CIFS clients. This is a newer version.
samba35-dev - 3.5.14-1 - development files for samba35
samba35-swat - 3.5.14-1 - the Samba Web Admin Tool for samba35
samba36 - 3.6.4-1 - Samba suite provides file and print services to SMB/CIFS clients. This is a newer version.
samba36-dev - 3.6.4-1 - development files for samba36
samba36-swat - 3.6.4-1 - the Samba Web Admin Tool for samba36

>>Да, кстати, оптваря пока не обновлена,
> это да.
>>И то, что замена её на обычную _что_то может запросто сломать
> я же писал - отлично работает.
> нету там никаких модификаций. руки у железячников коротки такие проекты как самба
> кастомизячить. ребрендинг разве что.

Вы себя считаете специалистом, а такую ерунду проверить не в состоянии. И да, про "руки коротки" - вы неправы, в synology работают весьма грамотное разработчики и кастомизаций там достаточно. Например, rsync - совсем другая, отличная от базовой, модель авторизации.

О самбе - вот краткий грип:
DiskStation> grep syno /usr/syno/sbin/smbd
libsynolog.so.1
libsynogpl.so.3.1
libsynocoregpl.so.3.1
libsynoaclgpl.so
syno_vfswrap_stat
syno_file_ntimes
syno_user_in_list
syno_unix_convert
synoVfswrap_stat
lp_syno_domain_group_criteria
lp_syno_support_offline_files
lp_syno_sync_dctime
lp_syno_roaming_profiles
lp_syno_smb_xfer_log
lp_synoenable_macea
syno_check_reload

/usr/syno/sbin
/usr/syno/bin
/usr/syno/swat
/usr/syno/etc/smb.conf
/usr/syno/etc/private/smbpasswd
/usr/syno/etc/private
syno enable mac ea
syno roaming profiles
syno domain group criteria
syno sync dctime
/etc/synoinfo.conf
(%ssynonym of %s)
(synonyms:
/usr/syno/bin/synologset1
/usr/syno/bin/synosyncdctime > /dev/null 2>&1
/etc.defaults/synoinfo.conf
/usr/syno/etc/netatalk.debug

Даже из названий переменных можно догадаться, что патчили а) интеграцию с интерфейсом б) логи и в) авторизацию. Интереса для я даже скачал архив с http://sourceforge.net/projects/dsgpl/ - там есть все изменения от вендора, и их немело. В частности - работа с квотами. И да я не писал, что работать вообще не будет. Но писал что часть функционала пострадает. А вы даже поленились проверить это.

> Что за бред. "Преувеличивать опасность". Вы действительно доверяете всем пользователям
> в организации? Интересно, кстати, какой процент железных решений с самбой внутри
> (НАС-ы, некоторые принтера и многое другое) отреагирует.

Вот-вот. Тем более, что для запуска эксплоита админских привилегий не надо.

нууу это до тех пор пока черви не освоили уязвимость ...

> случайно нарваться на такие вещи скорее всего не получится. Естественно предполагается,
> что самбы в локалке надежно отсечены от внешней сети

Интересно как ? средствами iptables ?
Мне кажется что максимум что делают админы - фильтрация по ip в конфиге smb.conf, что есессно не поможет.

> Интересно как ? средствами iptables ? Мне кажется что максимум что делают админы - фильтрация по ip в конфиге smb.conf, что есессно не поможет.

Например fw маршрутизатора, который смотрит наружу, нет? И который как класс отсекает все внешние запросы.

>Для уже не поддерживаемых веток Samba подготовлены патчи.

Молодцы.

Думал в патче C-код увидеть. А там - только перл. Ага, так вот, почему "по оценке разработчиков, выявленная проблема является одной из наиболее серьёзных уязвимостей за всю историю проекта." Ну ладно, шутка.

По теме патча: ах, эти похожие английские слова length & size.

*>По оценке разработчиков, выявленная проблема является одной из наиболее серьёзных уязвимостей за всю историю проекта.

*>> it is the most serious vulnerability possible in a program,

Сравниваем, :/ вздыхаем, идём дальше...

А почему вы так уверены, что процитировали именно перевод той фразы и что там вообще перевод, а не результат личного общения в кулуарах ?
Можете назвать более опасную уязвимость в samba ? Не было таких, либо настройки специфичные были нужны, либо не везде эксплуатировалось и легко закрывалось обходными путями или  вшитыми в некоторые дистрибутивы средствами защиты от переполнения.

> Недавно - в 2008 году? Вы жжоте, сударь. Дырка закрыта, что Вам еще нужно?

пусть откроют исходники, вы тогда столько уязвимостей увидите ;)

Видать Червь Моррисона 1988 г.в. так ничему людей и не учит. Печаль.

*Морриса

Это замечание имело бы смысл если бы мы говорили не о самбе а, скажем, об апаче или хотя бы вордпрессе или друпале. А так - причем тут Моррисон? Куда и как вы планируете развивать эпидемию за пределами локальной сети?

Нет, я имел в виду ПОГОЛОВНОЕ использование
StrCopy(p1, p2, len)
вместо
StrLCopy(p1, p2, len, max_len)

И это в 21м веке!

Для центоса обновления прилетели еще ночью, для дебиана - нет до сих пор.
Кажется, ситуация с поддержкой этих дистров изменилась с точностью до наоборот.

Прошло уже больше суток, а обновления для debian и ubuntu так и не пришли.
Смело вычеркиваем их из списка систем, которые можно ставить на критичные серверы.

Ты очень отважный онаним, не боишься с таким подходом повычеркивать все существующие операционные системы?

> Ты очень отважный онаним, не боишься с таким подходом повычеркивать все существующие
> операционные системы?

К сожалению, скорость реакции на remote root -- это один из показателей.  Если помните таковой в mod_ssl в 2003, то я тогда ночь просидел с проверками обновляемости пакета (и только через полгода выяснил, что проблема была в триггере и опечатка принадлежала предыдущему майнтейнеру, в квалификации которого нисколько не сомневался и не сомневаюсь) -- и в итоге не стал срочно выкатывать исправление, затыкающее дырку, но гарантированно опускающее сервис httpd при установке.

Это уже потом понял, что если бы подумал здраво -- то лучше опущенный сервис без remote root, чем поднятый -- с ним.  Надо было писать advisory с упоминанием известного недочёта -- и выкатывать.

> Прошло уже больше суток, а обновления для debian и ubuntu так и не пришли.

В альте позавчера в обед уже были:
http://lists.altlinux.org/pipermail/sysadmins/2012-April/035...
http://lists.altlinux.org/pipermail/sysadmins/2012-April/035...

Скажите Одмины, у кого самба торчит в инет???? Дайте в глаза посмотрю! :)

> Скажите Одмины, у кого самба торчит в инет???? Дайте в глаза посмотрю!
> :)

Ну что за петросянство. Ну не торчит, она, допустим, в инете, а используется во внутрисети,в которой работают пару тысяч человек. Эта уязвимость даст возможность им не только скачать всё и сразу, без проверки доступов, а и руткитнуть сервер.

Для Gentoo уже есть пакеты 3.5.14 и 3.6.4

> Для Gentoo уже есть пакеты 3.5.14 и 3.6.4

угу, страннно, что в GLSA почему-то пока не появилась информация о необходимости обновиться :\

Больше на си программируйте - и не такое будет. Ошибки переполнения буфера - это вечная проблема Си, и она есть везде, потому что при арифметике с указателями она неизбежна.

Прочёл всю ветку и одного не понял: у всех демон Samba с правами root запущен что ли, как предлагается при развёртывании по умолчанию в большинстве пакетных дистров? Про открытость наружу уже всё разжевали, про кривизну smb/cifs тоже, а про самое главное - нет. У меня пользователь/группа, от которого стартует Samba, даже в своих шарах не разгуляется, не говоря уже о перехвате управления сервером. Что, однако, проблему уязвимости самого софта не снимает - это просто оголтелый непрофессионализм как исполнителей-кодеров, так и руководителей проекта.

Ну дальше уже, очевидно, под конкретное окружение ищется сплойт, повышающий привилегии.

> У меня пользователь/группа, от которого стартует Samba

На каких портах?

> создаётся возможность передачи массива заведомо большего размера,
> чем может вместить выделенный под него буфер,

Переполнение буфера?
Кажется подобное недавно в ядре вылазило. Серьёзная вещь. И печально. Ошибка-то детская.
В iS-DOS такого не было.