V Sambe kritická chyba, umožňuje ovládnutie Unixu zo siete

Značky: bezpečnosťInternet

DSL.sk, 4.3.2015

V open source softvéri Samba pre unixové platformy implementujúcom sieťový prístup k zdieľaným adresárom cez Windows protokol SMB sa nachádzala ďalšia kritická chyba, ktorá potenciálne umožňuje útočníkovi spustiť zvolený kód.

Chyba sa podľa popisu Red Hatu nachádzala v serverovom komponente Samby a je zneužiteľná zasielaním špecificky skonštruovaných paketov aj neautentifikovaným klientom.

Chyba typu dealokovania neinicializovaného ukazovateľa potenciálne umožňuje spustenie útočníkom zvoleného kódu s root oprávneniami a tým získanie kompletnej kontroly nad serverom.

Funkčný exploit kód zatiaľ nie je k dispozícii, podľa Red Hatu je ale vytvorenie exploitu zrejme možné.

Postihnuté sú všetky verzie Samby od 3.5. V prípade najnovšej verzie 4.1 je priamočiare zneužitie možné len v prípade prítomnosti konfiguračnej voľby "server schannel = yes", v opačnom prípade je chyba potenciálne zneužiteľná komplikovanejšie.

Chyba bola opravená v nových verziách 3.6.25, 4.0.25 a 4.1.17 vydaných minulý týždeň.




Najnovšie články:



Diskusia:

Taky tak... Od: 4Maniak. | Pridané: 4.3.2015 9:42 A preto Sambu nepoužívame... Odpovedať Známka: -6.1 Hodnotiť:

Re: Taky tak... Od: Ferko Mrkvicka | Pridané: 4.3.2015 9:58 To ze sambu nevies tancovat, este neznamena ze ju nepouzivas. Samba je bezne implementovana v sietovy zariadeniach ktore su schopne zapisovat do siete, pripadne poskytuju v siety ulozisko. napr> sietove scanory, NASka, niektore IP kamery a ine zariadenia Odpovedať Známka: 5.8 Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 4.3.2015 10:04 Nepoužívame... Máme iné techniky. Odpovedať Známka: -8.3 Hodnotiť:

Re: Taky tak... Od: Morpheus. | Pridané: 4.3.2015 14:17 http://i.imgur.com/00sKdfx.png Odpovedať Známka: 3.3 Hodnotiť:

Re: Taky tak... Od: http://dopice.sk/cBB | Pridané: 4.3.2015 15:00 http://dopice.sk/cBB Odpovedať Známka: 5.0 Hodnotiť:

Re: Taky tak... Od: boha | Pridané: 4.3.2015 10:41 "A preto Sambu nepoužívame... " Povedal maniak, pre ktoreho je zlozite pochopit aj obycajny hajzlovy splachovac. A nizsie napise "Nepoužívame... Máme iné techniky." Jasne, ta vasa latrina je sice modernejsia, ako poddrep pod krickom, ale neklam sam seba, nie je to prave vykrik modernej doby. Najskor sa nauc pouzivat vlastny rozum (neplet si to s mozgom, ten ma kazdy....). Odpovedať Známka: 4.8 Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 4.3.2015 10:45 Ty sa nauč chápať a rozumieť názorom iných. Nemáme potrebu mať niekde Sambu. Ani v splachovačoch nie. Ťažké pochopiť? Hrám sa s Novelom, ten nemá Sambu. Samba je výmysel na niečo čo robíme inak. Ak vôbec. Odpovedať Známka: -5.2 Hodnotiť:

Re: Taky tak... Od: jybhjg | Pridané: 4.3.2015 10:53 "Ty sa nauč chápať a rozumieť názorom iných." . Zasmial som sa! . To nam hovori maniak, ktory stale dookola nechape prispevky a nazory inych?! Maniak, ktory sa neustale do niekoho navaza a troli tu nezmyslami?! . Maniak, ktory nedokaze pochopit jednoduche technicke detaily?! . Pobav este niecim ;-) Odpovedať Známka: 2.7 Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 4.3.2015 10:58 Haaa-haaa... Zasmiali sa zbrojnoši a odplávali na šijacích strojoch. Žeby mi stačil Win a jeho doména namiesto Samby? Odpovedať Známka: -6.2 Hodnotiť:

Re: Taky tak... Od: karolkooooo | Pridané: 4.3.2015 11:22 novel? to ma este podporu? a ak ano, to sa im oplati kvoli siestim uzivatelom po celom svete? ... Odpovedať Známka: 6.2 Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 4.3.2015 11:25 Prosím??? Novell mal donedávna prím v sieťach a kým to neposrali cenovou politikou, Windows siete boli v plienkach. Pozri si www.novell.com aby si vedel ako pokračujú... Ich licencie sa moc nedali klamať a obchádzať ako tie na Windows... Odpovedať Známka: -6.7 Hodnotiť:

Re: Taky tak... Od: JatySam | Pridané: 4.3.2015 12:07 ak "Donedavna" myslis tak rok 2000, tak ano, donedavna mali velke zastupenie. Chvala bohu, integrovane ActiveDirectory ich zrusilo z trhu Odpovedať Známka: 6.9 Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 4.3.2015 12:23 Nie chvalabohu, ale škoda. Majú eDirectory a NDS. A rok 2008 bol pre Netware ešte kľúčový a odvtedy tlačia čisto Suse Enterprise Linux. Odpovedať Známka: -4.7 Hodnotiť:

Re: Taky tak... Od: dagi1984 | Pridané: 4.3.2015 14:44 presne tak, v roku 98-99 u nas vo firme postupne premigrovali z IPX/IP a Novell solutions na Microsoft active directory. Odpovedať Známka: 6.0 Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 5.3.2015 8:09 A pritom si stačilo kúpiť NW5.1 a bolo by, že? Ten mal perfekte spracované aj použitie ako web server aj niekoľkých naraz, databázy ORACLE a kopu ďalších, vtedy neslýchaných možností. V roku 1998 ste čo mali od MS? Akurát tak Windows NT4 server a NT4 Workstation. V neskoršom období roku 2000 prišiel trápny a nešikovný Windows Server 2000. Odpovedať Hodnotiť:

Re: Taky tak... Od: karolkooooo | Pridané: 5.3.2015 9:18 No mozno v tom roku 98 sa Novell hodil, ty tu ale obhajujes dnesnu dobu, niekto u vas vo firme pekne zaspal na vavrinoch. Odpovedať Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 5.3.2015 10:35 Ani nie. Tam kde je nejaký Novell, či už Netware alebo Suse Linux Enterprise system, tak určite veľmi dobre vie prečo a načo ho má. Odpovedať Hodnotiť:

Re: Taky tak... Od: ja. | Pridané: 5.3.2015 11:03 No vidis, a v roku 2000 si mohol mat NT4 domenu, SQL Server 2000 a IIS. Vela firiem to aj tak malo a nemuselo riesit komplikovany deployment (preco ten netware klient zase nefunguje?). Rovnako dnes, neviem preco by niekto riesil infrastrukturu na Suse, ked moze mat Redhat/Oracle Linux/Centos, domenu na FreeIPA a z web serverov, aplikacnych serverov a databaz si vybrat, ake len chce. Odpovedať Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 5.3.2015 11:09 Hahaha... Databázy to podporovalo minimálne obdobne ak nie lepšie., Netware pozná výhodnejší systém ako je doména. A na druhý odsek si odpovedz asi takto: Čomu nerozumiem, to nehodnotím! Netware klient - ani raz sa mi za dlhé roky nestalo, že by niečo nefungovalo! Odpovedať Hodnotiť:

Re: Taky tak... Od: ja. | Pridané: 5.3.2015 11:39 No tak to vsetci pozor, mame tu eksperta ;) Novell nikdy nebol Tier-1 platforma pre velke SQL databazy. Pred 15 rokmi to boli vacsinou klasicke Unixy, pricom kazdy db vendor s rozziarenymi ocami hovoril o Windows. Dnes je Tier-1 pre Oracle, DB2, Informix, Sybase, Terradata platforma Linux a Windows. Na Suse to bezi len preto, ze je to tiez linux. Ostatny software detto. Skus ist do nejakej firmy a ponukat produkty Novellu. Budu sa na tebe este dlho rehotat. No a skus ist ponuknut produkty Microsoftu, Redhatu alebo Oraclu. Btw, ma vobec Novell nieco ako je Oracle Enterprise Manager? Odpovedať Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 5.3.2015 11:50 Zopakujem sa: "Tam kde je nejaký Novell, či už Netware alebo Suse Linux Enterprise system, tak určite veľmi dobre vie prečo a načo ho má." Odpovedať Hodnotiť:

Re: Taky tak... Od: ja. | Pridané: 5.3.2015 12:08 Prelozim ti do slovenciny co hovoris: "Niekomu sa to sem podarilo predat, nikto nevie preco, nikto nevie definovat, co ponuka oproti konkurencii, ale musime si zachovat tvar a koniec koncov, ide o nase joby. Ked to bude niekto spochybnovat, povieme mu, ze tomu nerozumie." Takze skus nam blbcom, co nevidime ziadnu pridanu hodnotu v rieseni Novellu vysvetlit, co ponuka napr. proti OL+IPA+EM+ORADB. Odpovedať Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 5.3.2015 13:18 Húpacieho koníka nechceš? Odpovedať Hodnotiť:

Re: Taky tak... Od: ja. | Pridané: 5.3.2015 13:44 Aj s celym kolotocom, ked sa da. Co tak sa menej vyhybat odpovedi a viac konkretnych faktov? Odpovedať Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 5.3.2015 14:14 No vieš. Ja som staromódny a na to čo potrebujeme, na to nám stačí aj Novell... File, FTP, tlačový, web server, UPSka naň, diaľková správa servera, viac sieťoviek, router, anitvírová kontrola a tak detské veci. Ja to mám na ukážku možností a výuku správy severa a podobné kravinky. Vzdialený boot(tenký klient) a také čačky mačky. Odpovedať Hodnotiť:

Re: Taky tak... Od: ja. | Pridané: 5.3.2015 14:34 Vsak to je OK, akurat svet okolo sa pohol trocha dalej. V takom EM mas prehlad o vsetkom od vsetkych fyzickych strojoch, o tom, ake tam bezia virtualne masiny, na nich ake servisy bezia, ci tam mas aktualny sw alebo ci ho treba updatovat, k akemu storage su ktore masiny pripojene, ake databazy mas na ktorych masinach az po to, ako su jednotlive sietovky pripojene ku ktoremu portu v switchi, ako su nabondovane... Jednoducho celu serverovnu ovladas z jedneho nastroja cez browser. Inak ono fakt este niekto pouziva dedikovany print server? Dnes kazda (sietova) tlaciaren podporuje IPP a staci ju pridat do directory (ci uz AD alebo LDAP). Zvysok si zmanazuje sama. Takze ja beriem, ze Novell moze niekomu stacit, ale je to specificke riesenie, ktore je uz za zenitom. Odpovedať Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 5.3.2015 15:09 Aj Novel Netware má možnosť LDAP či iPRINT(Tvoje IPP). A má webovo vznikajúco spracovanú dokumentáciu. Priam perfektne. Možnosť stiahnuť celé brožúry ako pdf súbory. Má toho veľmi veľa. Len každý poznáme len niečo... Novel má jeden z nástrojov manažmentu cez web rozhranie napr. iManager. Odpovedať Hodnotiť:

Re: Taky tak... Od: ja. | Pridané: 5.3.2015 17:40 Pointa IPP je, ze to podporuje tlaciaren rovno vo svojom firmware a operacne systemy v zaklade - netreba riesit ziadnych klientov, ziadne drivery (okrem Windows, tam drivery riesit treba, ale ide to server-side), nic. Len si klient najde v LDAP (ak mas) alebo inym mechanizmom (mDNS, SSDS, uPNP, ak nemas LDAP/AD) zoznam tlaciarni, na ktore moze tlacit a ide sa. Podporuje to Windows, Mac, Linux, iOS zariadenia. Jednoducho nezabijas cas ziadnymi hlupostami. Na iPrint zacnes tym, ze musis vsade instalovat klienta. Dokumentaciu maju vsetci na mraky, rovnako certifikacie a ostatnu omacku okolo. Ono je dost rozdiel spravovat jeden-dva-tri servery alebo dvadsat-tridsat-patdesiat, s rovnakym poctom ludi. Plus rozdelenie medzi fyzicke a virtualne, clustrovanie, prehadzovanie sluzieb medzi nimi podla zataze apod. To uz nie je o file/print serveri a nejakom ftp. Odpovedať Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 5.3.2015 18:53 No hej. To sú náročné a zložité veci. Ja tu píšem často iba o detskom piesočku a okolí... Niekto si na serveríku virtualizuje aj Novell Netware kvôli niečomu... Odpovedať Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 5.3.2015 11:10 Čo máš stále s doménami??? Odpovedať Hodnotiť:

Re: Taky tak... Od: obyčajne | Pridané: 8.3.2015 17:22 Doména je veľmi šik moderné slovo. Tebe to možno nič nehovorí, lebo si ho poznal už dávno pred tým, než prišlo do módy. Ozaj, na čom beží naša jadrová elektráreň? Každá na niečom inom? Odpovedať Hodnotiť:

Re: Taky tak... Od: deMent | Pridané: 4.3.2015 11:23 Ze niekto pouziva este dnes dos, ok, pochopim, ale novel? :D Odpovedať Známka: 10.0 Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 4.3.2015 11:26 Aký problém? Perfektný a rýchly file, print, ftp a čo ja viem aký server. A nenáročný na "železo"... Na Win 2011 server potebujete 10GB RAM. A čo nastavíte, to aj naozaj funguje. Na každý súbor či priečinok! Odpovedať Známka: -3.3 Hodnotiť:

Re: Taky tak... Od: dagi1984 | Pridané: 4.3.2015 14:47 preco nie... aku velku siet mas? Odpovedať Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 5.3.2015 8:38 Lebo nemám zbytočných 10GB RAM pre základnú funkčnosť WS2011?? A mne osobne Windows prostredie moc v tomto nevyhovuje. Zvyk je skrátka železná košeľa. :-) Odpovedať Hodnotiť:

Re: Taky tak... Od: karolkooooo | Pridané: 5.3.2015 9:21 Zbytocnych 10GB ram? Mne 10GB v dnesnej dobe pride malo aj pre bezny desktop. Z toho, co tu tvrdohlavo obhajujes, mam dojem, ze ste v praci traja, z toho je len jeden developer (preto tak malo ram vam staci) a preto vam postacuje Novell. Pokial ale pride stvrty zamestnanec, cely Novell padne do kolien... Odpovedať Hodnotiť:

Re: Taky tak... Od reg.: roob_ | Pridané: 5.3.2015 9:33 na bezny desktop staci 4GB ram s vypnutym swapom. Na hracsky PC staci 8GB ram. Ak chces seriozne robit v dakom 3D studiu, photoshope alebo virtualizovat pocitace, tak si nekupis "bezny destkop". Odpovedať Hodnotiť:

Re: Taky tak... Od: 345354 | Pridané: 5.3.2015 10:04 na hranie by som uz povedal ze treba 16GB Odpovedať Hodnotiť:

Re: Taky tak... Od reg.: roob_ | Pridané: 5.3.2015 10:19 ja mam 16GB, a prave preto pisem, ze staci 8. Nad 6-7GB som mal zabrate len pri pouziti ramdisku alebo virtualbox... Odpovedať Hodnotiť:

Re: Taky tak... Od: 4Maniak. | Pridané: 5.3.2015 19:42 Práve Novell Netware je pre jednoduché veci na hardvér pomerne nenáročný... V pohode všeličo zvláda s 2GB RAM. Odpovedať Hodnotiť:

Re: Taky tak... Od: zumba | Pridané: 4.3.2015 12:08 tak pouzivas urcite Zumbu Odpovedať Známka: 10.0 Hodnotiť:

Re: Taky tak... Od reg.: jozko dezko | Pridané: 4.3.2015 12:35 niet nad stary dobry valcik, co? Odpovedať Známka: 10.0 Hodnotiť:

Re: Taky tak... Od reg.: roob_ | Pridané: 4.3.2015 17:12 vies co je, alebo mas NAS? Co myslis, cez co funguje? Ked si das pripojit ten NAS ako dalsie pismenko v tvojom pocitaci... Odpovedať Známka: 3.3 Hodnotiť:

aj freebsd? Od: koxox | Pridané: 4.3.2015 9:45 Samba, de Janeiro! Odpovedať Známka: 9.0 Hodnotiť:

Re: aj freebsd? Od: grammar nazi | Pridané: 4.3.2015 10:05 ak tam mas sambu (de Janeiro) v postihnutej verzii, tak ano. Odpovedať Známka: -2.0 Hodnotiť:

hmmmm Od: kokotny kokot | Pridané: 4.3.2015 9:56 ja mám radšej telnet. Odpovedať Známka: -6.2 Hodnotiť:

Re: hmmmm Od: ggghjj | Pridané: 4.3.2015 10:13 Drogy ruleeez Odpovedať Známka: 5.6 Hodnotiť:

Re: hmmmm Od: blablabla | Pridané: 4.3.2015 10:14 ja zmrzlinu Odpovedať Známka: 6.7 Hodnotiť:

Re: hmmmm Od reg.: jozko dezko | Pridané: 4.3.2015 12:33 ja fax Odpovedať Známka: 7.1 Hodnotiť:

Re: hura! Od: ... | Pridané: 4.3.2015 10:56 to nevadí. Linux predsa nemá žiadne vírusy... Odpovedať Známka: 0.0 Hodnotiť:

Re: hura! Od: kekeket | Pridané: 4.3.2015 11:00 samba sluzi na komunikaciu s windows stanicami, cize ked naucis inteligenta rozmyslat v retardiej reci, tak to ho moze trochu poznacit :D Odpovedať Známka: 4.3 Hodnotiť:

Re: hura! Od: 4Maniak. | Pridané: 4.3.2015 11:36 Čiže je aj zbytočná? Odpovedať Známka: -5.0 Hodnotiť:

Re: hura! Od: 3453 | Pridané: 4.3.2015 12:14 len ty si zbytocny. Odpovedať Známka: 3.3 Hodnotiť:

Re: hura! Od: kekeket | Pridané: 4.3.2015 12:16 nieje zbytocna, je to prostriedok ako komunikovat s retardami, ale ti retardi su zbytocni, ako ty :) Odpovedať Známka: 3.8 Hodnotiť:

Re: hura! Od: poldinko | Pridané: 4.3.2015 13:22 nedá mi to treba si naštudovať rozdiel medzi vírusom a škodlivým kódom pre linux nie sú vírusy áno pre každý operačný systém existuje škodlivý kód ale v článku sa nepíše ani o jednom ale o chybe v kóde služby obsluhujúcej zdielanie dát v sieti (samba) ktorá umožňuje "hack" - prevzatie kontroly nad systémom na ktorom beží (nilen na linuxe samba beží aj na BSD a Solarise ak sa nemýlim) Odpovedať Známka: 7.1 Hodnotiť:

oprava Od: poldinko | Pridané: 4.3.2015 13:23 najdolezitejsia info z clánku - chyba bola opravená minulý týždeň (teda stačí aktualizovať - čo väčšina zodpovedných adminov robí pravidelne alebo má server nastavený na automatickú aktualizáciu v slabej prevádzke) Odpovedať Známka: 8.5 Hodnotiť:

Pridať komentár