The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

15.07.2017 22:54  Критическая уязвимость в Heimdal Kerberos, затрагивающая Samba 4

В пакете Heimdal Kerberos и реализации протокола Kerberos, поставляемой в Samba, выявлена уязвимость (CVE-2017-11103), позволяющая атакующему притвориться заслуживающим доверия сервисом через организацию MITM-атаки. Уязвимость присвоен критический уровень опасности. В контексте Samba уязвимость позволяет через MITM-атаку имитировать для клиента заслуживающие доверия файловые серверы SMB/CIFS, серверы печати или серверы авторизации.

Проблема вызвана некорректной организацией проверки имени сервиса KDC-REP (Key Distribution Center) при аутентификации доступа клиента к сервису через систему билетов (tickets). Суть проблемы в том, что извлечение имени сервиса KDC-REP производилось из незашифрованного и неаутентифицированнго билета (ticket), в то время как спецификация Kerberos 5 требует извлекать имя сервиса только из зашифрованного и аутентифицированного ответа ('enc_part'). Извлечение имени сервиса из незашифрованного и неаутентифицированного пакета позволяет атакующему, имеющему возможность вклиниться в транзитный трафик, выдать себя за заслуживающий доверия сервис.

Проблема присутствует с первых версий Heimdal Kerberos, выпущенных в 1996 году, и устранена в Heimdal Kerberos 7.4.0, а также в выпусках Samba 4.6.6, 4.5.12, 4.4.15 (в Samba 4 встроен Heimdal). Уязвимость также затрагивает системы Microsoft на базе Active Directory, например, Windows Server 2008, в которых повторено некорректное поведение протокола. MIT Kerberos проблеме не подвержен, как не подвержены проблеме и исполняемые файлы Samba, собранные с MIT Kerberos. Уязвимость уже устранена во FreeBSD, Debian, Fedora и Ubuntu. Дистрибутивы SUSE и RHEL проблеме не подвержены (неофициальный heimdal из EPEL уязвим), так как используют MIT Kerberos, а не Heimdal Kerberos.

  1. Главная ссылка к новости (https://www.us-cert.gov/ncas/c...)
  2. OpenNews: Из состава OpenBSD исключён Kerberos
  3. OpenNews: Создан консорциум по развитию системы аутентификации Kerberos
  4. OpenNews: Уязвимость в Samba 4, которая может привести к удалённому выполнению кода
  5. OpenNews: Раскрыты детали уязвимости Badlock в Samba
  6. OpenNews: Уязвимость в Samba, позволяющая выполнить код на сервере
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: kerberos, samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 00:00, 16/07/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –6 +/
    Этот SMB/CIFS уже давным-давно следовало закoпать и забeтонировать, чтоб не выбралось.
     
     
  • 2.3, яя (?), 00:30, 16/07/2017 [^] [ответить]    [к модератору]
  • +/
    Альтернативы?
     
     
  • 3.4, Скотыняка (?), 00:35, 16/07/2017 [^] [ответить]    [к модератору]
  • –6 +/
    NFS либо распределенные сетевые FS
     
     
  • 4.5, Анан (?), 00:56, 16/07/2017 [^] [ответить]    [к модератору]
  • +5 +/
    То есть, либо не работает, либо требует 100500 ресурсов. Кто-то, либо траллирует, либо не разбирается.
     
     
  • 5.11, Скотыняка (?), 02:11, 16/07/2017 [^] [ответить]    [к модератору]
  • +8 +/
    Га-га-га
    Это NFS-то не работает?
     
     
  • 6.19, Аноним (-), 07:46, 16/07/2017 [^] [ответить]     [к модератору]  
  • +/
    простите - а давно pNFS поддерживается везде А в остальном маркиза - вы упирает... весь текст скрыт [показать]
     
     
  • 7.30, нех (?), 09:46, 16/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Чегой-то ты анонимом стал подписываться? Думал, не узнает никто?
     
     
  • 8.65, Аноним (-), 23:09, 22/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Зачетно распарсил.
     
  • 7.34, Аноним (-), 11:37, 16/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    А давно smb стало аналогом pnfs?
     
  • 6.61, Admino (ok), 02:42, 18/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > NFS

    Это та штука, которая подвешивает клиента напрочь при потере связи с сервером?

     
     
  • 7.62, iZEN (ok), 11:01, 18/07/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    Это на линуксах она так работает? Чините консерваторию.
     
     
  • 8.63, ыы (?), 21:16, 18/07/2017 [^] [ответить]    [к модератору]  
  • +/
    и на чпуксах тоже подвешивает. крайне нестабильная и ненадежная штука.
     
     
  • 9.66, Аноним (-), 23:12, 22/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Новые клоун на форуме Расскажи, как ты делаешь из неё нестабильную и не надежну... весь текст скрыт [показать]
     
  • 4.7, Аноним (-), 01:17, 16/07/2017 [^] [ответить]    [к модератору]  
  • +7 +/
    > NFS

    Шило на мыло. :(

     
  • 4.28, пох (?), 09:39, 16/07/2017 [^] [ответить]     [к модератору]  
  • +5 +/
    о, да, йа-йа - вместо ужасной самбы в которой, ну надо же, можно подменить серве... весь текст скрыт [показать]
     
  • 4.51, Аноним (-), 09:46, 17/07/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    MS не пишет клиент под NFS, а опенсорс сообщество так и не написало клиент для винды. Наверно потому что NFS никому не нужен.
     
     
  • 5.57, _ (??), 18:18, 17/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Всё как обычно! Ванузятнеги не знают свой зонт :)
     
  • 5.58, Stax (ok), 18:36, 17/07/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Почему Вполне себе пишет Временами исправляет баги и увеличивает производитель... весь текст скрыт [показать]
     
  • 3.18, Ph0zzy (ok), 07:35, 16/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    webdav?
     
     
  • 4.47, Ivan_83 (ok), 20:09, 16/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Ни клиентов ни серверов для него нормальных нет.
     
     
  • 5.52, Аноним (-), 09:46, 17/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Ни клиентов ни серверов для него нормальных нет.

    Пробовали. Работает очень не стабильно в винде.

     
  • 3.64, KBAKEP (ok), 22:19, 18/07/2017 [^] [ответить]    [к модератору]  
  • +/
    AFS?
     
  • 2.33, Аноним (-), 10:58, 16/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Причем тут smb/cifs? В маздае та же уязвимость.
     
     
  • 3.67, Аноним (-), 23:14, 22/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Причем тут smb/cifs? В маздае та же уязвимость.

    Другая. Смотри CVE.

     
  • 2.39, 123 (??), 16:49, 16/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Дырка в kerberos И если у тебя самба KDC смотрит наружу - ты сам себе злобный... весь текст скрыт [показать]
     
     
  • 3.54, ананим.orig (?), 12:19, 17/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Ну и винды уже с 2008 сервера есть намного более защищенные протоколы

    И тут должен идти "например".
    Типа "тикет можно получить так ..."

     
  • 1.6, Аноним (-), 01:08, 16/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Надо еще в IPX стеке уязвимости поискать. А то мало ли может быть NetWare кто-то юзает до сих пор.
     
     
  • 2.8, Аноним (-), 01:18, 16/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Надо еще в IPX стеке уязвимости поискать. А то мало ли может
    > быть NetWare кто-то юзает до сих пор.

    Конечно юзают, но не афишируют во избежание всяких кулхацкеров.

     
     
  • 3.24, Аноним (-), 09:32, 16/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    IPX'у внешние атаки кулхацкеров не страшны, ибо через общественные сети он не распространяется.
     
     
  • 4.68, Аноним (-), 23:15, 22/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > IPX'у внешние атаки кулхацкеров не страшны, ибо через общественные сети он не
    > распространяется.

    Кулхацкеры обычно уже внутри сетей.

     
  • 1.12, Аноним (-), 02:37, 16/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Получается мелкософт стырили код у Heimdal Kerberos?
     
     
  • 2.21, zanswer CCNA RS and S (?), 07:53, 16/07/2017 [^] [ответить]    [к модератору]  
  • –5 +/
    В новости написано, что Microsoft повторила поведение работы протокола, то есть они использовали реализацию Heimdal, как референсную, при реализации своего Kerberos сервера.
     
     
  • 3.25, Аноним (-), 09:34, 16/07/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Референсная реализация — это та, в которой нажимают Ctrl+C?
     
     
  • 4.55, ананим.orig (?), 12:21, 17/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Не-не!
    Главное — там нажимают Ctrl-V.
     
  • 4.60, _ (??), 23:38, 17/07/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    >Референсная реализация — это та, в которой нажимают Ctrl+C?

    У этих диких людей жмут Ctrl+Ins :)

     
  • 3.26, Аноним (-), 09:34, 16/07/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    Знаем, как они "референсно" у бздунов стек TCP/IP использовали ;)
     
  • 2.32, Hellraiser (??), 10:38, 16/07/2017 [^] [ответить]    [к модератору]  
  • +/
    +1
    мелкософт спалился на одинаковой уязвимости
     
  • 1.13, Аноним (-), 03:07, 16/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Ещё вчера обновы для Ubuntu пришли, а вообще Samba это зло, но увы, это зависимость VLC, и без неё IPTV не посмотришь.
     
     
  • 2.20, Аноним (-), 07:52, 16/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Чего? Зачем IPTV самба вообще? Это для шаринга видео с других устройств, а не IPTV. Собери VLC без libsmb и всё нормально работает. По крайней мере я пересобрал MPV, всё работает.
     
     
  • 3.27, Аноним (-), 09:38, 16/07/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    Чего человека минусуете? Нынешние "линуксоиды"-убунтоиды не умеют проги из исходников собирать?
     
     
  • 4.29, пох (?), 09:41, 16/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Чего человека минусуете? Нынешние "линуксоиды"-убунтоиды не умеют проги из исходников
    > собирать?

    ждут ебилдов.

     
     
  • 5.31, Ебилд Гентович (?), 10:19, 16/07/2017 [^] [ответить]    [к модератору]  
  • +/
    А что нам ждать, мы давно тут. Флаги правильные давайте и будет вам счастье. Мы же не Убунтовичи, с ними пока соберёшь - облысеешь.
     
  • 4.36, Аноним (-), 13:42, 16/07/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Нынешние линуксоиды не умеют даже темы с обоями кастомизировать, для смены ВМ,... весь текст скрыт [показать]
     
  • 4.37, лютый жабист__ (?), 13:49, 16/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Чем мешает клиент самбы? А вот всю жизнь потом руками пересобирать пакет - это красноглaзие
     
     
  • 5.38, Аноним (-), 15:51, 16/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Своим присутствием в системе Я самбой не пользовался никогда и пользоваться не ... весь текст скрыт [показать]
     
     
  • 6.69, Аноним (-), 23:18, 22/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Т.е. этот ваш линукс можно использовать только после обработки напильником, т.е. копилятором?
     
  • 2.22, Аноним (-), 07:54, 16/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну так соберите VLC без Samba и смотрите сколько влезет. Выросло поколение…
     
     
  • 3.70, Аноним (-), 23:18, 22/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Ну так соберите VLC без Samba и смотрите сколько влезет. Выросло поколение…

    Что ещё без чего надо пересобрать перед тем как смотреть сколько влезет?
    Весь список сразу, пожалуйста.

     
  • 1.35, ананим.orig (?), 13:12, 16/07/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • –3 +/
    Ну там в сборках самбы просто нет домена АД вообще и цербера в частности, так чт... весь текст скрыт [показать]
     
     
  • 2.43, ананим.orig (?), 19:31, 16/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Ззыж
    Да, цербер в макоси тоже на хеймдале.
    Сговор рептилоидов? :)
     
     
  • 3.45, 123 (??), 19:43, 16/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Сколько лет на маке нормально его завести не удавалось. С каждым апдейтом отлетает нафиг.
     
     
  • 4.48, ананим.orig (?), 20:26, 16/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Сервер?
    Вроде там всё норм.
     
     
  • 5.49, Аноним (-), 07:33, 17/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    У вас там ад на макоси? Да это просто охренительно, обязательно почитаю на эту тему!
     
     
  • 6.50, Аноним (-), 09:34, 17/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Она сама по себе ­— ад.
     
     
  • 7.59, Led (ok), 22:47, 17/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Она сама по себе ­— ад.

    Не путайте Ад с Содомом.

     
  • 2.72, Michael Shigorin (ok), 21:02, 12/08/2017 [^] [ответить]    [к модератору]  
  • +/
    >> Дистрибутивы SUSE и RHEL проблеме не подвержены (неофициальный heimdal из EPEL уязвим),
    >> так как используют MIT Kerberos, а не Heimdal Kerberos.
    > Ну там в сборках самбы просто нет домена АД вообще и цербера в частности,
    > так что конечно не подвержены.

    Хозяйке на заметку: http://altlinux.org/SambaDC (есть в http://altlinux.org/starterkits/server под галочкой).

     
  • 1.41, Аноним (-), 18:56, 16/07/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +4 +/
    Кто хочет посмотреть подробнее предметную область samba, Heimdal Kerberos, MIT K... весь текст скрыт [показать]
     
     
  • 2.44, ананим.orig (?), 19:34, 16/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Спасибо, интересно.
    Не зря значит ещё тут коменты просматриваю.
     
     
  • 3.73, Michael Shigorin (ok), 21:08, 12/08/2017 [^] [ответить]    [к модератору]  
  • +/
    >> http://0x1.tv/Планы_развития_Samba_—_upstream_и_downstream_(Александр_Боковой,_OSSDEVCONF-2015)
    > Спасибо, интересно.

    В этом году будет 22--24 сентября, приезжайте в Калугу: https://www.basealt.ru/about/14-conf-kaluga/ ;-)  Не знаю, будет ли там ab@ с учётом того, что недавно он приезжал в Минск, судя по talks@lvee -- но обычно интересных людей и тем хватает.

     
  • 2.46, 123 (??), 19:56, 16/07/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    Ну толстый сильно привирает  -  SMB была разработана  как раз таки майками и ibm. И первая ее реализация нормальная как раз таки была в windows for worgroups и полуоси.
     
     
  • 3.56, Аноним (-), 17:23, 17/07/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    +15 за вброс
    гугли "nbserver 1.5"
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor