The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Критическая уязвимость в Heimdal Kerberos, затрагивающая Samba 4

15.07.2017 22:54

В пакете Heimdal Kerberos и реализации протокола Kerberos, поставляемой в Samba, выявлена уязвимость (CVE-2017-11103), позволяющая атакующему притвориться заслуживающим доверия сервисом через организацию MITM-атаки. Уязвимость присвоен критический уровень опасности. В контексте Samba уязвимость позволяет через MITM-атаку имитировать для клиента заслуживающие доверия файловые серверы SMB/CIFS, серверы печати или серверы авторизации.

Проблема вызвана некорректной организацией проверки имени сервиса KDC-REP (Key Distribution Center) при аутентификации доступа клиента к сервису через систему билетов (tickets). Суть проблемы в том, что извлечение имени сервиса KDC-REP производилось из незашифрованного и неаутентифицированнго билета (ticket), в то время как спецификация Kerberos 5 требует извлекать имя сервиса только из зашифрованного и аутентифицированного ответа ('enc_part'). Извлечение имени сервиса из незашифрованного и неаутентифицированного пакета позволяет атакующему, имеющему возможность вклиниться в транзитный трафик, выдать себя за заслуживающий доверия сервис.

Проблема присутствует с первых версий Heimdal Kerberos, выпущенных в 1996 году, и устранена в Heimdal Kerberos 7.4.0, а также в выпусках Samba 4.6.6, 4.5.12, 4.4.15 (в Samba 4 встроен Heimdal). Уязвимость также затрагивает системы Microsoft на базе Active Directory, например, Windows Server 2008, в которых повторено некорректное поведение протокола. MIT Kerberos проблеме не подвержен, как не подвержены проблеме и исполняемые файлы Samba, собранные с MIT Kerberos. Уязвимость уже устранена во FreeBSD, Debian, Fedora и Ubuntu. Дистрибутивы SUSE и RHEL проблеме не подвержены (неофициальный heimdal из EPEL уязвим), так как используют MIT Kerberos, а не Heimdal Kerberos.

  1. Главная ссылка к новости (https://www.us-cert.gov/ncas/c...)
  2. OpenNews: Из состава OpenBSD исключён Kerberos
  3. OpenNews: Создан консорциум по развитию системы аутентификации Kerberos
  4. OpenNews: Уязвимость в Samba 4, которая может привести к удалённому выполнению кода
  5. OpenNews: Раскрыты детали уязвимости Badlock в Samba
  6. OpenNews: Уязвимость в Samba, позволяющая выполнить код на сервере
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46859-kerberos
Ключевые слова: kerberos, samba
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (61) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 00:00, 16/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Этот SMB/CIFS уже давным-давно следовало закoпать и забeтонировать, чтоб не выбралось.
     
     
  • 2.3, яя (?), 00:30, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Альтернативы?
     
     
  • 3.4, Скотыняка (?), 00:35, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    NFS либо распределенные сетевые FS
     
     
  • 4.5, Анан (?), 00:56, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    То есть, либо не работает, либо требует 100500 ресурсов. Кто-то, либо траллирует, либо не разбирается.
     
     
  • 5.11, Скотыняка (?), 02:11, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Га-га-га
    Это NFS-то не работает?
     
     
  • 6.19, Аноним (-), 07:46, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    простите - а давно pNFS поддерживается везде?
    А в остальном маркиза - вы упираетесь в проблему 100500 клиентов через одно горлышко сетевого интерфейса сервера и горлышко одного диска подключенного к серверу.

    А в остальном прекрасная маркиза.. все хорошо.. все хорошо.

     
     
  • 7.30, нех (?), 09:46, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Чегой-то ты анонимом стал подписываться? Думал, не узнает никто?
     
     
  • 8.65, Аноним (-), 23:09, 22/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Зачетно распарсил ... текст свёрнут, показать
     
  • 7.34, Аноним (-), 11:37, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А давно smb стало аналогом pnfs?
     
  • 6.61, Admino (ok), 02:42, 18/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > NFS

    Это та штука, которая подвешивает клиента напрочь при потере связи с сервером?

     
     
  • 7.62, iZEN (ok), 11:01, 18/07/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это на линуксах она так работает? Чините консерваторию.
     
     
  • 8.63, ыы (?), 21:16, 18/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    и на чпуксах тоже подвешивает крайне нестабильная и ненадежная штука ... текст свёрнут, показать
     
     
  • 9.66, Аноним (-), 23:12, 22/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Новые клоун на форуме Расскажи, как ты делаешь из неё нестабильную и не надежну... текст свёрнут, показать
     
  • 4.7, Аноним (-), 01:17, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > NFS

    Шило на мыло. :(

     
  • 4.28, пох (?), 09:39, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    о, да, йа-йа - вместо ужасной самбы в которой, ну надо же, можно подменить сервер (очень теоретически и в насквозь дырявой сети), давайте пользоваться nfs, которая в штатных конфигурациях не то что сервер - клиентов-то авторизовать не умеет (и при этом - complete trusts удаленной системе)

    Единственное (кривое и страшное как смерть от поноса) решение.... тадам - Kerberos!

    (complete trust, разумеется, никуда не девается, ну хоть авторизация не по ip)

     
  • 4.51, Аноним (-), 09:46, 17/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    MS не пишет клиент под NFS, а опенсорс сообщество так и не написало клиент для винды. Наверно потому что NFS никому не нужен.
     
     
  • 5.57, _ (??), 18:18, 17/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Всё как обычно! Ванузятнеги не знают свой зонт :)
     
  • 5.58, Stax (ok), 18:36, 17/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему? Вполне себе пишет. Временами исправляет баги и увеличивает производительность (в 7-ке лучше, чем в XP+SFU, в 8-ке еще лучше). Но начиная с 8-ки доступен исключительно в enterprise-версии (может еще в какой-то близкой к enterprise), в home/pro - фиг с маслом, а не NFS-клиент.

    NFS нужен, к примеру, если требуется хорошая производительность - 1 гбит вообще без твиков (самба не всегда), 10 гигабит с минимальными твиками. Есть и другие причины использовать. Но в целом да, нужен он не очень часто по той причине, что если нагрузка маленькая, то интероперабельность хуже, чем у самбы, а если большая - NFS не получается нормально кластеризовать, pNFS существует где-то в вакууме или за большие деньги, или полу-работающий и при этом решает в первую очередь проблемы производительности, а не отказоустойчивости.

     
  • 3.18, Ph0zzy (ok), 07:35, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    webdav?
     
     
  • 4.47, Ivan_83 (ok), 20:09, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ни клиентов ни серверов для него нормальных нет.
     
     
  • 5.52, Аноним (-), 09:46, 17/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ни клиентов ни серверов для него нормальных нет.

    Пробовали. Работает очень не стабильно в винде.

     
  • 3.64, KBAKEP (ok), 22:19, 18/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    AFS?
     
  • 2.33, Аноним (-), 10:58, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Причем тут smb/cifs? В маздае та же уязвимость.
     
     
  • 3.67, Аноним (-), 23:14, 22/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Причем тут smb/cifs? В маздае та же уязвимость.

    Другая. Смотри CVE.

     
  • 2.39, 123 (??), 16:49, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Дырка в kerberos. И если у тебя самба / KDC смотрит наружу - ты сам себе злобный буратино. MITM атаки в локалке? Ну и винды уже с 2008 сервера есть намного более защищенные протоколы. Их конечно выключают.. но виновата MS конечно.
     
     
  • 3.54, ананим.orig (?), 12:19, 17/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и винды уже с 2008 сервера есть намного более защищенные протоколы

    И тут должен идти "например".
    Типа "тикет можно получить так ..."

     

  • 1.6, Аноним (-), 01:08, 16/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Надо еще в IPX стеке уязвимости поискать. А то мало ли может быть NetWare кто-то юзает до сих пор.
     
     
  • 2.8, Аноним (-), 01:18, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Надо еще в IPX стеке уязвимости поискать. А то мало ли может
    > быть NetWare кто-то юзает до сих пор.

    Конечно юзают, но не афишируют во избежание всяких кулхацкеров.

     
     
  • 3.24, Аноним (-), 09:32, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    IPX'у внешние атаки кулхацкеров не страшны, ибо через общественные сети он не распространяется.
     
     
  • 4.68, Аноним (-), 23:15, 22/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > IPX'у внешние атаки кулхацкеров не страшны, ибо через общественные сети он не
    > распространяется.

    Кулхацкеры обычно уже внутри сетей.

     

  • 1.12, Аноним (-), 02:37, 16/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Получается мелкософт стырили код у Heimdal Kerberos?
     
     
  • 2.21, zanswer CCNA RS and S (?), 07:53, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    В новости написано, что Microsoft повторила поведение работы протокола, то есть они использовали реализацию Heimdal, как референсную, при реализации своего Kerberos сервера.
     
     
  • 3.25, Аноним (-), 09:34, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Референсная реализация — это та, в которой нажимают Ctrl+C?
     
     
  • 4.55, ананим.orig (?), 12:21, 17/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не-не!
    Главное — там нажимают Ctrl-V.
     
  • 4.60, _ (??), 23:38, 17/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Референсная реализация — это та, в которой нажимают Ctrl+C?

    У этих диких людей жмут Ctrl+Ins :)

     
  • 3.26, Аноним (-), 09:34, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Знаем, как они "референсно" у бздунов стек TCP/IP использовали ;)
     
  • 2.32, Hellraiser (??), 10:38, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    +1
    мелкософт спалился на одинаковой уязвимости
     

  • 1.13, Аноним (-), 03:07, 16/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Ещё вчера обновы для Ubuntu пришли, а вообще Samba это зло, но увы, это зависимость VLC, и без неё IPTV не посмотришь.
     
     
  • 2.20, Аноним (-), 07:52, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Чего? Зачем IPTV самба вообще? Это для шаринга видео с других устройств, а не IPTV. Собери VLC без libsmb и всё нормально работает. По крайней мере я пересобрал MPV, всё работает.
     
     
  • 3.27, Аноним (-), 09:38, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Чего человека минусуете? Нынешние "линуксоиды"-убунтоиды не умеют проги из исходников собирать?
     
     
  • 4.29, пох (?), 09:41, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Чего человека минусуете? Нынешние "линуксоиды"-убунтоиды не умеют проги из исходников
    > собирать?

    ждут ебилдов.

     
     
  • 5.31, Ебилд Гентович (?), 10:19, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А что нам ждать, мы давно тут. Флаги правильные давайте и будет вам счастье. Мы же не Убунтовичи, с ними пока соберёшь - облысеешь.
     
  • 4.36, Аноним (-), 13:42, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Чего человека минусуете? Нынешние "линуксоиды"-убунтоиды не умеют проги из исходников
    > собирать?

    Нынешние "линуксоиды" не умеют даже темы с обоями кастомизировать, для смены ВМ, на полном серьезе дистрибутив меняют, все что не похоже на максималочку "красноглaзым за*ротсвом" называют, главными критериями качества и удобства пользования свистелки и перделки в установщике и подобранные дефолты считают - чтобы "Устанавливать как в современных ОС! Установил и сразу работать можно было! Копии ~/.config, /home, перенос ОС и настроек с помощью копирования? Нет, не слышали, врети вы наверное все!".
    А вы про сборку из исходников завернули.


     
  • 4.37, лютый жабист__ (?), 13:49, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чем мешает клиент самбы? А вот всю жизнь потом руками пересобирать пакет - это красноглaзие
     
     
  • 5.38, Аноним (-), 15:51, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Чем мешает клиент самбы?

    Своим присутствием в системе. Я самбой не пользовался никогда и пользоваться не собираюсь, а требует её только MPV.

    > А вот всю жизнь потом руками пересобирать пакет - это красноглaзие

    Об автоматической пересборке не слышал? Есть даже в Debian, есть-пить не просит. На моём (не самом свежем) железе 2007 года собирает за пару минут. К тому же обновления на стабилке прилетают не так уж часто. Раз в полгода пересобрать пакет наверное не оторвутся руки?

    Ну и потом, у меня есть пара самописных софтин, для которых я тоже собираю пакеты, почему бы и нет? И ещё несколько пакетов пересобирал с патчами, потому что их нигде нет, патчи мои, писались для себя, навряд ли кому-то ещё нужны, а уж в апстрим их точно принимать никогда не будут.

     
     
  • 6.69, Аноним (-), 23:18, 22/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. этот ваш линукс можно использовать только после обработки напильником, т.е. копилятором?
     
  • 2.22, Аноним (-), 07:54, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так соберите VLC без Samba и смотрите сколько влезет. Выросло поколение…
     
     
  • 3.70, Аноним (-), 23:18, 22/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну так соберите VLC без Samba и смотрите сколько влезет. Выросло поколение…

    Что ещё без чего надо пересобрать перед тем как смотреть сколько влезет?
    Весь список сразу, пожалуйста.

     

  • 1.35, ананим.orig (?), 13:12, 16/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > Дистрибутивы SUSE и RHEL проблеме не подвержены (неофициальный heimdal из EPEL уязвим), так как используют MIT Kerberos, а не Heimdal Kerberos.

    Ну там в сборках самбы просто нет домена АД вообще и цербера в частности, так что конечно не подвержены.

    Зыж
    Про мастдай улыбнуло.
    Теперь можно тыкать этой новостью, утверждая что это мс создает ад на основе самбы, а не наоборот.
    Хотя,.. это логично и практично в общем то.

     
     
  • 2.43, ананим.orig (?), 19:31, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ззыж
    Да, цербер в макоси тоже на хеймдале.
    Сговор рептилоидов? :)
     
     
  • 3.45, 123 (??), 19:43, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сколько лет на маке нормально его завести не удавалось. С каждым апдейтом отлетает нафиг.
     
     
  • 4.48, ананим.orig (?), 20:26, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сервер?
    Вроде там всё норм.
     
     
  • 5.49, Аноним (-), 07:33, 17/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У вас там ад на макоси? Да это просто охренительно, обязательно почитаю на эту тему!
     
     
  • 6.50, Аноним (-), 09:34, 17/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Она сама по себе ­— ад.
     
     
  • 7.59, Led (ok), 22:47, 17/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Она сама по себе ­— ад.

    Не путайте Ад с Содомом.

     
  • 2.72, Michael Shigorin (ok), 21:02, 12/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Дистрибутивы SUSE и RHEL проблеме не подвержены (неофициальный heimdal из EPEL уязвим),
    >> так как используют MIT Kerberos, а не Heimdal Kerberos.
    > Ну там в сборках самбы просто нет домена АД вообще и цербера в частности,
    > так что конечно не подвержены.

    Хозяйке на заметку: http://altlinux.org/SambaDC (есть в http://altlinux.org/starterkits/server под галочкой).

     

  • 1.41, Аноним (-), 18:56, 16/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Кто хочет посмотреть подробнее предметную область samba, Heimdal Kerberos, MIT Kerberos  есть отличный доклад Александра Боковового:
    http://0x1.tv/Планы_развития_Samba_—_upstream_и_downstream_(Александр_Б)
    или
    https://vimeo.com/134560237

    непосредственно про samba, Heimdal Kerberos, MIT Kerberos описание будет с 31 минуты.

     
     
  • 2.44, ананим.orig (?), 19:34, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, интересно.
    Не зря значит ещё тут коменты просматриваю.
     
     
  • 3.73, Michael Shigorin (ok), 21:08, 12/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> http://0x1.tv/Планы_развития_Samba_—_upstream_и_downstream_(Александр_Б)
    > Спасибо, интересно.

    В этом году будет 22--24 сентября, приезжайте в Калугу: https://www.basealt.ru/about/14-conf-kaluga/ ;-)  Не знаю, будет ли там ab@ с учётом того, что недавно он приезжал в Минск, судя по talks@lvee -- но обычно интересных людей и тем хватает.

     
  • 2.46, 123 (??), 19:56, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну толстый сильно привирает  -  SMB была разработана  как раз таки майками и ibm. И первая ее реализация нормальная как раз таки была в windows for worgroups и полуоси.
     
     
  • 3.56, Аноним (-), 17:23, 17/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    +15 за вброс
    гугли "nbserver 1.5"
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру