URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 121857
[ Назад ]
Исходное сообщение
"Реализация контроллера домена в Samba оказалась подвержена уязвимости ZeroLogin"
Отправлено opennews , 17-Сен-20 12:32 
Разработчики проекта Samba предупредили пользователей, что недавно выявленная в Windows уязвимость ZeroLogin (CVE-2020-1472) проявляется и в реализации контроллера домена на базе Samba. Уязвимость вызвана недоработками в протоколе MS-NRPC и криптоалгоритме AES-CFB8, и при успешной эксплуатации позволяет злоумышленнику получить доступ администратора в контроллере домена...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53728

Содержание
Сообщения в этом обсуждении
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 17-Сен-20 12:32 
Люди сведующие, подскажите пожалуйста.
Чем лучше расшаривать ~/Uploads, на ноуте, по быстрому, для друзей? Везде выпиливают фтп, и уже не у всех в офисе можно встретить клиент для него. Смузи-мальчики с DAV серверами чтоли покусали, не в теме особо.

Samba-дыра-костыль-тоработаютонет не рассматривается, nfs особоая какая-то штука сильно не привлекает.

Уже лет .цать используется ftps://vsftpd-jail. Но может в 2020 появилась таки альтернатива на фоне активных отказов?

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 17-Сен-20 12:37 
python -m http.server чё б нет
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 20-Сен-20 00:46 
nginx web-dav не?
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 17-Сен-20 12:44 
Да расшарь ты через nginx и сделай там autoindex, всё. (сам так делаю)
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено лор , 17-Сен-20 12:46 
Хм, на слух выглядит элегантно )
Спасибо, попробую!
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено дло , 17-Сен-20 12:46 
Но как же аплоад???
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 17-Сен-20 12:54 
PHP скрипт для аплоада с бейсик авторизацией на урл.
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено ждл , 17-Сен-20 12:59 
Ну т.е. ситуация патовая и мы тем самым это признаём )
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 20-Сен-20 00:47 
Не просто чувак не знает про модль web-dav но знает что можно программировать на php
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Moomintroll , 17-Сен-20 13:22 
> Но как же аплоад???

nginx умеет WebDAV: https://nginx.org/ru/docs/http/ngx_http_dav_module.html

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Sylvia , 17-Сен-20 16:47 
плохо он умеет.
Без PROPFIND ничего работать нормально не будет.

https://github.com/arut/nginx-dav-ext-module
нужен доп. модуль.

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 17-Сен-20 17:47 
Есть ngx_http_dav_module. Достаточно включить PUT.
После этого очень удобно заливать файлы/директории через lftp (да, он умеет HTTP).
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено GG , 17-Сен-20 13:09 
ssh/sftp
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено a , 17-Сен-20 13:50 
self-hosted NextCloud.
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено j.hb , 17-Сен-20 13:54 
Охренеть.. на тебе тот жепег на 20Кб, что я вчера обещал для презентации. Щас запущу только шарманку. И добавлю в автозагрузку.
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено ьбт , 17-Сен-20 13:57 
В общем то ясно что стоит оставаться на ftps еще какое-то время, пока что vsftpd живёт и кушать не просит. Страдает меньшинство, как раз меньше всего интересное? что само по себе интересно )
По всей видимости, придётся таки снова возиться с этой помойкой samba. Может наконец всё как-то по человечески наконец там стало..
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено n242name , 18-Сен-20 06:15 
кинул его в токс и делов то
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено ryoken , 17-Сен-20 14:17 
KDEConnect
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено фыв , 17-Сен-20 18:47 
iPhone/WinTablet/Windows laptop/etc etc etc?
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Спарта , 19-Сен-20 12:40 
Да, все что указано в списке, кроме, скорее всего, IPona!
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 17-Сен-20 14:27 
Начинай учить rust, потом у тебя просто не будет друзей - проблема решена !
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено kjhkjh , 17-Сен-20 18:48 
Лучше уж это, чем с такими якшаться.
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 20-Сен-20 00:50 
Друзей станет заметно меньше, а так да учи PHP и каждый будет просить тебя создать сайт
А что б жену завести нужно интересно куда идти ?
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Led , 21-Сен-20 15:31 
> А что б жену завести нужно интересно куда идти ?

Смотря куда завести нужно.

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено freehck , 17-Сен-20 15:47 
> Уже лет .цать используется ftps://vsftpd-jail

Зачем менять то, что работает?

> Чем лучше расшаривать ~/Uploads, на ноуте, по быстрому, для друзей?

Ну если uploads, то самое простое, что можно придумать -- это завести другу аккаунт в системе, и нехай он через rsync загружают своё добро.

Если друг не совсем друг, и надо его ограничить в свободе, то легче всего как раз старый добрый vsftpd поставить. Он там будет тусоваться в своём маленьком чруте, из которого не вылезти.

Если друг недалёкий, то вообще для этого нынче принято использовать гуглодиск / дропбокс.

У меня для этих целей есть домашний Synology NAS. Его quickconnect позволяет организовать отправку файлов простым drug-n-drop из файлового менеджера в браузер.

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Васисуалий Лопата , 17-Сен-20 17:33 
drUg-n-drop - госнаркоконтоль уже заинтересован...
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 17-Сен-20 17:46 
Не спешите, возможно он хотел сказать друг-n-drop, так сказать Drag&Drop Friends Edition.
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Murz , 18-Сен-20 05:41 
> Не спешите, возможно он хотел сказать друг-n-drop, так сказать Drag&Drop Friends Edition.

правильно переводится "драг-n-друг"  - он просто ищет друзей, у кого можно закупиться драгами в долг "сёдня денег нет, завтра отдам" :)

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено 123 , 17-Сен-20 16:41 
https://github.com/sc0tfree/updog
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Sylvia , 17-Сен-20 17:23 
неплохая штученция, но русские имена для файлов не поддерживает.
и работает очень медленно
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 17-Сен-20 18:11 
А в винде можно правой кнопкой и расшарить. Когда-то и в линуксе это будет. Когда наиграютсмя менять Х на вайланд и далее
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Ilya Indigo , 18-Сен-20 02:05 
А чтобы слить все свои данные то вообще ничего никуда жать не нужно!
Жрите это сами!
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено xxgb , 18-Сен-20 09:00 
и отключить парольную авторизацию или создать учетку отдельную и права дать... а вообще врсе просто конечно. Да, если винда старая сильно то еще в рестре надо шаманить, но это норм.
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 18-Сен-20 01:10 
Да нормально самба работает, чтобы просто файлики пошарить. Вам ж не active directory надо.
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Ilya Indigo , 18-Сен-20 02:03 
ssh/sftp с доступом по ключу и chroot оболочкой для каждого пользователя.
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено fsd , 18-Сен-20 03:02 
Syncthing
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Murz , 18-Сен-20 05:26 
И чем же в этой задаче поможет Syncthing?

Он умеет только целую папку синкать на комп, а не отдельные файлы, и пока всё не скачается - сиди-кури-жди.

А человеку надо просто посмотреть содержимое uploads на соседнем компе не скачивая всё (т.е. только список файлов), потом чёнить выборочно скачать оттуда, чёнить закачать туда.

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Led , 21-Сен-20 15:34 
> Он умеет только целую папку синкать на комп

Говорят, у вендузяников и целую мамку синкает.

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено ya , 18-Сен-20 08:17 
А как тебе такой вариант? Надо ставить клиент на винду и на бубунту.
https://github.com/abdularis/LAN-Share/releases/
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено xxgb , 18-Сен-20 09:02 
самба же. от глупых стереотипов пора отказаться. ну и порты/самбу открывать по необходимости а не навсегда
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено пох. , 17-Сен-20 12:36 
Никогда не было, и вот, опять!
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Домохозяйка анонима , 17-Сен-20 12:49 
Полная совместимость, всё как заявлено.
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено пох. , 17-Сен-20 12:51 
Ага, а новым модным обновлением, как я понимаю, сломали нахрен возможность подключения с XP и, может, заодно и семерок. Ну а чо, MS велела в морх, значит шва6одные пейсатели берут под козырек и с рвением бегут впереди паровоза выполнять.

Зато бебебезопастно!

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено m.makhno , 17-Сен-20 13:09 
если ты ходишь по SMBv1, то хоть с десятки не дойдешь до места назначения
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 17-Сен-20 23:06 
Есть подозрение что самбу пилит именно M$. Все по золотому правилу трех кликов, пока что мы проигрываем.
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Брат Анон , 17-Сен-20 14:26 
Качественная реализация, чо?

Вот после этого верь МС про всякие WSL 2 -- они же туда зондов напихают.

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено n242name , 18-Сен-20 06:16 
а кто этим wsl говном пользоваться будет если есть нормальный линукс
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Брат Анон , 18-Сен-20 10:54 
Анон, ты недооцениваешь тупизну хомячков. Моно же пытаются пилить под Linux? Или Samba делить? (*   смотри на днях новости о качественной реализации *)
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Microsoft , 18-Сен-20 01:54 
Все на дно
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 17-Сен-20 22:54 
synthing
seafile
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Murz , 18-Сен-20 05:45 
> synthing
> seafile

Syncthing - это синхронизация папок между компами, там нельзя просто посмотреть папку на соседнем компе (и выборочно что-то скачать, что-то закачать туда), можно только скачать всё файло к себе, и только потом уже смотреть-править.

Seafile - аналогично, но ещё и требует установки серверной части, но зато умеет по WebDAV, чтобы не выкачивать себе на комп всю удалённую папку ради того, чтобы посмотреть-закачать пару файлов, это прям плюс.

Так что оба варианта не решают задачи "побыстрому расшарить папочку чтобы люди рядом могли на своих виндовсах/андроидах/ойфончиках её посмотреть, чтонить оттуда скачать или закачать своё туда.

Получается, что дырявая Samba - так и остаётся самый оптимальный вариант... :(

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено n242name , 18-Сен-20 06:17 
эта дыра касается только контроллера домена насколько я понял

продолжай дальше юзать самбу и желательно v3

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено пох. , 19-Сен-20 16:57 
> продолжай дальше юзать самбу и желательно v3

это в которой аналог виндового wannacry и вообще никто ничего не исправляет уже лет пять? Да, продолжай, продолжай.

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено n242name , 19-Сен-20 22:06 
>> продолжай дальше юзать самбу и желательно v3
> это в которой аналог виндового wannacry и вообще никто ничего не исправляет
> уже лет пять? Да, продолжай, продолжай.

wanncry это не название дыры.. можно пруф на CVE?

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено пох. , 19-Сен-20 23:40 
ну мне за тебя гуглем пользоваться?
Или ты думаешь, я веду коллекцию "пруфов", на случай если немедленно потребуется удовлетворить анонимного пруфодрочена на опеннете?

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено OpenEcho , 19-Сен-20 02:45 
>Syncthing - это синхронизация папок между компами,

Это правда

> там нельзя просто посмотреть папку на соседнем компе (и выборочно что-то скачать, что-то закачать туда),

Включите двухсторонюю синхронизацию и inotify и все файлы на обоих компах будут всегда одинаковы. Не надо ничего качать туда/сюда оно само будет все одинаково на всех компах которые в рое.
Почти тоже самое что и сетевая виндовая шара, только не с единой точкой отказа, а распределенная шара с подержкой предыдущих версий файлов

> можно только скачать всё файло к себе, и только потом уже смотреть-править.

Не правда, можно работать постояно над файлом и он засинхронизируется сам с другими.

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Murz , 19-Сен-20 14:32 
>> можно только скачать всё файло к себе, и только потом уже смотреть-править.
> Не правда, можно работать постояно над файлом и он засинхронизируется сам с
> другими.

Дык задача-то совсем в другом - в том, чтобы расшарить папку соседу для просмотра и выборочного скачивания, а не заливать на его комп всё своё гумно из Аплоадс, накачанное за года

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено OpenEcho , 19-Сен-20 16:15 
> Дык задача-то совсем в другом - в том, чтобы расшарить папку соседу
> для просмотра и выборочного скачивания, а не заливать на его комп
> всё своё гумно из Аплоадс, накачанное за года

Дык, читайте опции в меню, - на машине донара "Send only", на машине пиявке "Receive only"

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Murz , 20-Сен-20 08:56 
>> Дык задача-то совсем в другом - в том, чтобы расшарить папку соседу
>> для просмотра и выборочного скачивания, а не заливать на его комп
>> всё своё гумно из Аплоадс, накачанное за года
> Дык, читайте опции в меню, - на машине донара "Send only", на
> машине пиявке "Receive only"

И чо, типа на пиявку не будут в таком режиме начинать заливаться все донорские 100500 файлов, засирая ему весь диск и сетевой канал, а только джва файла, которые ему нужно посмотреть?

"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено OpenEcho , 19-Сен-20 17:02 
А если просто просматривать и выборочно скачивать, до достаточно или nginx или единичный файл https://github.com/syntaqx/serve
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 20-Сен-20 00:51 
Да похороните уже домен и SMB нужен сильный игрок который объявит новый открытый стандарт для файловой системы а то пытался я тут WebDAV но он же ущербен дальше некуда
"Реализация контроллера домена в Samba оказалась подвержена у..."
Отправлено Аноним , 05-Сен-23 22:01 
JuiceFS надо использовать.