The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

08.03.2016 21:01  Обновление Samba 4.3.6, 4.2.9 и 4.1.23 с устранением опасных уязвимостей

Доступны корректирующие выпуски Samba 4.3.6, 4.2.9 и 4.1.23, в которых устранены две уязвимости:

  • CVE-2015-7560 - аутентифицированный клиент может обойти ограничения ACL. Использовав UNIX-расширения протокола SMB1 пользователь может создать символическую ссылку на файл или директорию, доступ к которым ограничен. Затем при помощи SMB1 без UNIX-расширений пользователь может перезаписать содержимое данного файла или директории, обратившись к ним через созданную ссылку. Проблема проявляется во всех выпусках, начиная с 3.2.0. В качестве обходных путей защиты можно запретить использование UNIX-расширений ("unix extensions = no" в секции "[global]") или ограничить протокол версией SMB2 ("server min protocol = SMB2" в секции "[global]").
  • CVE-2016-0771 - уязвимость во встроенном DNS-сервере, поставляемом в составе Samba 4.x. Проблема вызвана ошибкой обработки DNS-записей TXT и позволяет атакующему изменить содержимое DNS-записей или инициировать отказ в обслуживании. Существует вероятность утечки содержимого памяти сервера в тексте ответов на специально оформленные запросы DNS TXT. Опасность проблемы снижает использование по умолчанию настроек ("allow dns updates = secure only"), допускающих приём записей только от аутентифицированных клиентов.


  1. Главная ссылка к новости (http://permalink.gmane.org/gma...)
  2. OpenNews: Релиз Samba 4.3.0 с поддержкой SMB-расширений, появившихся в Windows 10
  3. OpenNews: Релиз Samba 4.2.0. Прекращение поддержки Samba 3
  4. OpenNews: Критическая удалённая уязвимость в Samba, предоставляющая root-доступ к серверу
  5. OpenNews: Обновление Samba 4.1.16 и 4.0.24 с устранением уязвимости
  6. OpenNews: В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в реализации NetBIOS
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, user455, 21:18, 08/03/2016 [ответить] [смотреть все]
  • +/
    Я уже давно очень далек от мира windows, застал времена только samba 3, когда 4ая была в глубокой альфе. Подскажите пожалуйста те, кто имеет опыт использования 4 самбы, является ли она сейчас полноценной заменой виндового АД контроллера ? Есть ли какие-то серьезные подводные камни использования самбы кроме отсутствия техподдержки?

    Спасибо.

     
     
  • 2.5, ddr, 22:14, 08/03/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Полноценной заменой не является, но может выполнять часть функций Подводных кам... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, _, 01:45, 09/03/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Математически точное высказывание, браво Профессор студентке на экзамене по физ... весь текст скрыт [показать]
     
  • 2.6, EHLO, 22:23, 08/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это предложение подразумевает, что у АД есть техподдержка, а у Самбы ее нет Ты ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, ананим.orig, 07:18, 09/03/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    это шутка юмора такая тогда так 8212 техподдержка естъ ... весь текст скрыт [показать]
     
  • 3.15, ананим.orig, 07:22, 09/03/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Кстати не угадал 8212 https www samba org samba support globalsupport html ... весь текст скрыт [показать]
     
  • 2.9, MaleDog, 22:55, 08/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    Для небольшой сети вполне Полгода назад поставил Только по моему скромному мне... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, й, 23:42, 08/03/2016 [^] [ответить] [смотреть все]  
  • +/
    > насколько я знаю доверие между доменами так и не работает)

    в 2.x работало

     
     
  • 4.11, й, 23:45, 08/03/2016 [^] [ответить] [смотреть все]  
  • +/
    и я очень сомневаюсь, что в современных версиях это оторвали ссылки на багрепор... весь текст скрыт [показать]
     
  • 3.13, ананим.orig, 07:13, 09/03/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Закрадывается мысль, что дяденька 8212 провокатор как минимум зыж Использу... весь текст скрыт [показать]
     
     
  • 4.24, snmp agent, 13:17, 09/03/2016 [^] [ответить] [смотреть все]  
  • +/
    В довесок Он же там по умолчанию ... весь текст скрыт [показать]
     
     
  • 5.25, ананим.orig, 13:23, 09/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну,.. хороший такой довесок. :D
     
  • 3.31, Michael Shigorin, 23:06, 09/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Поищите про кластерную самбу Надеюсь, понимаете, что без методики тестирования ... весь текст скрыт [показать]
     
  • 2.30, Michael Shigorin, 23:03, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    См , например, http www altlinux org SambaAD http lists altlinux org mailman... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, Аноним, 22:27, 08/03/2016 [ответить] [смотреть все]  
  • +/
    А в v3.6 уязвимость CVE-2015-7560 исправлять собираются?
     
     
  • 2.17, Аноним, 10:06, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    поскольку ответа мы с тобой не дождёмся, следуй совету в конце абзаца
     
  • 2.20, Andrew, 11:31, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    3 6 не поддерживается, и уже давно И вполне обоснованно- как файловый сервер 4 ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, Аноним, 12:59, 09/03/2016 [^] [ответить] [смотреть все]  
  • +/
    а можно сторонние лдап-сервер и бинд присобачить, чтобы получить аналог третьеса... весь текст скрыт [показать]
     
     
  • 4.26, ананим.orig, 13:40, 09/03/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Да https www opennet ru opennews art shtml num 41788 и пользователей можно де... весь текст скрыт [показать]
     
  • 1.16, CHERTS, 09:58, 09/03/2016 [ответить] [смотреть все]  
  • –4 +/
    Мигрировали в январе с Samba 4 x на Win2012R2 40 ПК - сразу уменьшилась головн... весь текст скрыт [показать]
     
     
  • 2.18, Аноним, 10:07, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    скажи начальнику, что этот гетзефакс тоже не очень, пусть другой выдаст... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, CHERTS, 10:31, 09/03/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    Вы это о чем? По-русски можете написать?
     
  • 2.21, Andrew, 11:39, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Сильно зависит от того, что вам от нее нужно Для огромного количества небольших... весь текст скрыт [показать] [показать ветку]
     
  • 2.22, imak, 11:55, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Мигрировали год назад с Win2003 на Samba4 (~50 ПК) - "сразу уменьшилась головная боль в несколько раз." :-)
    Из плюсов:
    1) Работает стабильно. По крайней мере у меня нареканий нет.
    2) Функционала для наших задач хватает. И стоимость лицензий 0 :-)
    3) Отличное комьюнити при решении проблем. У Microsoft реальной помощи при решении проблем не разу не удалось получить. Маленькие мы, не интересные мы им, хоть и лицензия была.
    4) Простота выполнения бэкапов - при смерти железа разворачивается на другом сервере в течении 40 мин. То же время у меня уходило на перенос ролей в MS AD.
    6) Возможность разобраться в работе самостоятельно. Именно разобраться, а не получить набор рецептов, что куда жмакнуть, дабы что-то заработало.

    Мне кажется достаточно аргументов для использования в небольшой фирме.  :-)

     
  • 2.27, Forth, 15:28, 09/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Давайте, пожалуйста, конкретику, по существу ничего не написали Какой особенный... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, CHERTS, 20:14, 09/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Давайте 1 Максимальный размер базы данных Samba ограничен 4 Гб, см ограничени... весь текст скрыт [показать]
     
     
  • 4.29, Forth, 21:01, 09/03/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Вы издеваетесь Вы зачем-то перечислили известные ограничения самбы 4, к... весь текст скрыт [показать]
     
     
  • 5.33, CHERTS, 07:55, 11/03/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Это не сильно известные ограничения Samba4, на wiki samba org эти данные разброс... весь текст скрыт [показать]
     
     
  • 6.35, Andrew, 11:58, 11/03/2016 [^] [ответить] [смотреть все]  
  • +/
    > Я же не говорю, что Samba4 плохая и не нужно её использовать.

    Вообще-то именно это Вы и сказали несколько постов назад. По-крайней мере мне трудно по-другому интерпретировать вот эту Вашу фразу:

    >> Мигрировали в январе с Samba 4.x на Win2012R2 (40 ПК) - сразу уменьшилась головная боль в несколько раз.

    По-итогу, насколько я могу судить, единственной серьезной причиной перехода на Windows Server, в вашем случае, было то, что сервер Вы и так уже купили. Причем купили не потому, что Вам не хватало каких-то возможностей Samba4 как ADC, а потому, что Вам нужен был терминальный сервер.

     
     
  • 7.36, CHERTS, 21:37, 11/03/2016 [^] [ответить] [смотреть все]  
  • +/
    >>По-итогу, насколько я могу судить, единственной серьезной причиной перехода на Windows Server

    Нет, переход был связан с сокращением долгосрочных расходов на поддержку парка ПК и серверов. Я же написал, что дело в эконом. выгоде по железу и ЗП персоналу. Если Вы сможете убедить руководство вбухать лишние 800 т.р. в обновление парка ПК ради того, чтобы остаться на опенсорсном продукте, то я могу позавидовать доходам Вашей компании.

    И еще раз повторюсь - Samba достойный продукт, но... всегда есть выбор.

     
     
  • 8.37, Andrew, 11:14, 12/03/2016 [^] [ответить] [смотреть все]  
  • +/
    > Нет, переход был связан с сокращением долгосрочных расходов на поддержку парка ПК и серверов. Я же написал, что дело в эконом. выгоде по железу и ЗП персоналу.

    Те же яйца, только в профиль. К Samba4 и ее возможностям Ваше решение имеет весьма косвенное отношение. Вам оказалось экономически выгодно перейти на использование терминального решения, и Вы купили WinServer именно для использования в качестве терминального сервера. Перевод ADC с Samba4 на свежекупленный WinServer (шаг весьма логичный в конкретно Вашей ситуации) был лишь следствием, и вряд ли мог "сразу уменьшить головную боль в несколько раз", в чем Вы настойчиво пытаетесь всех нас здесь убедить...

     
     
  • 9.38, EHLO, 11:40, 12/03/2016 [^] [ответить] [смотреть все]  
  • +/
    > Перевод ADC с Samba4 на свежекупленный WinServer (шаг
    > весьма логичный в конкретно Вашей ситуации)

    Не логичный. Выбор Майкрософта при наличии любой альтернативы -- признак некомпетентности. Тем более когда альтернатива СПО.

     
  • 4.32, Michael Shigorin, 23:13, 09/03/2016 [^] [ответить] [смотреть все]  
  • +/
    > 1. Максимальный размер базы данных Samba ограничен 4 Гб, см. ограничение tdb,
    > то есть для крупных организаций, c сотнями тысяч объектов в каталоге
    > AD, переход на Samba может оказаться невозможным.

    Организации с миллионами объектов вляпываются в необходимость ручной поддержки некрософтом по совершенно специальному прейскуранту.  Просто чтоб Вы понимали цену этому предположению.

    > - Отсутствует функция SID Filtering, отказ от нее существенно снижает уровень
    > безопасности при организации доверительных отношений;

    Кстати, у нас есть некоторые проработки на тему фильтров при синхронизации, можно поднять, если кому ещё понадобятся.

    > 8. Отсутствие поддержки MIT Kerberos;

    В работе.  Вас как затронуло, кстати?

    > 11. Можно продолжать и далее, но зачем?

    Ну почему -- мне, например, интересно. :)  В той части, что по существу.

     
     
  • 5.34, CHERTS, 08:11, 11/03/2016 [^] [ответить] [смотреть все]  
  • +/
    >>Организации с миллионами объектов вляпываются в необходимость ручной поддержки некрософтом по совершенно специальному прейскуранту.  Просто чтоб Вы понимали цену этому предположению.

    Я это прекрасно понимаю, работал в организации где в свое время мы мигрировали с Novell NetWare 6.5 на WinSrv2008 (>500 офисов по стране, >6500 ПК)

    >>В работе.  Вас как затронуло, кстати?

    Нас не затронуло, но одного знакомого у которого были какие-то самописные серверные костыли под MIT реализацию это тормознуло, но это частный случай и довольно редкий.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList