The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.08.2018 20:22  Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимостей

Подготовлены корректирующие выпуски пакета Samba 4.8.4, 4.7.9 и 4.6.16, в которых устранено несколько уязвимостей:

  • CVE-2018-1139 - позволяет применить для аутентификации устаревший алгоритм NTLMv1, даже если он отключен в настройках;
  • CVE-2018-1140 - отсутствие проверки на нулевой указатель может привести к краху Samba AD DC при отправке определённым образом оформленных запросов через DNS или LDAP;
  • CVE-2018-10858 - при обращении клиента к серверу, подконтрольному злоумышленнику, возможно повреждение областей памяти libsmbclient;
  • CVE-2018-10918 - отсутствие проверки на нулевой указатель может привести к краху Samba AD DC через отправку аутентифицированного запроса через DRSUAPI RPC;
  • CVE-2018-10919 - отсутствие проверки прав доступа позволяет выяснить значения конфиденциальных атрибутов через формирование поискового запроса в LDAP.


  1. Главная ссылка к новости (https://www.mail-archive.com/s...)
  2. OpenNews: Выпуск Samba 4.8.0
  3. OpenNews: Критическая уязвимость в Samba, позволяющая поменять пароль любого пользователя
  4. OpenNews: Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением уязвимостей
  5. OpenNews: Обновление Samba 4.6.8, 4.5.14 и 4.4.16 с устранением уязвимостей
  6. OpenNews: Критическая уязвимость в Heimdal Kerberos, затрагивающая Samba 4
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, denmatv94 (?), 20:24, 14/08/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Итак, приготовились, и ждем в Debian!
     
     
  • 2.2, Аноним (2), 20:27, 14/08/2018 [^] [ответить]    [к модератору]
  • +/
    Уже несколько часов как пришло.
     
     
  • 3.21, Sergey (??), 15:34, 17/08/2018 [^] [ответить]    [к модератору]
  • +/
    А в каком репозитории доступна версия 4.8.4 ?

    А то я туплю что то и старше 4.8.2 обновиться не получается.
    Добавлены репозитории для Debian 9 stable, testing, stableupdates, backports:


    deb http://security.debian.org/debian-security stretch/updates main contrib
    deb-src http://security.debian.org/debian-security stretch/updates main contrib


    deb http://deb.debian.org/debian/ stretch-updates main contrib
    deb-src http://deb.debian.org/debian/ stretch-updates main contrib

    deb http://security.debian.org/ stretch/updates main
    deb-src http://security.debian.org/ stretch/updates main

    deb http://mirror.yandex.ru/debian stretch main
    deb-src http://mirror.yandex.ru/debian stretch main

    deb http://mirror.yandex.ru/debian stretch-updates main
    deb-src http://mirror.yandex.ru/debian stretch-updates main

    deb http://mirror.yandex.ru/debian/ stretch-proposed-updates main non-free contrib
    deb-src http://mirror.yandex.ru/debian/ stretch-proposed-updates main non-free contrib


    deb http://ftp.ru.debian.org/debian/ testing main non-free contrib
    deb-src http://ftp.ru.debian.org/debian/ testing main non-free contrib


    deb http://ftp.ru.debian.org/debian/ unstable main non-free contrib
    deb-src http://ftp.ru.debian.org/debian/ unstable main non-free contrib

    deb     http://httpredir.debian.org/debian stretch-updates main
    deb-src http://httpredir.debian.org/debian stretch-updates main

     
  • 1.3, Аноним (3), 20:45, 14/08/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Сетку видет виндовую теперь?
     
     
  • 2.4, анан (?), 20:55, 14/08/2018 [^] [ответить]    [к модератору]
  • –1 +/
    нет
     
     
  • 3.7, Rubanok (?), 06:54, 15/08/2018 [^] [ответить]    [к модератору]  
  • +/
    как теперь жить?
     
  • 2.5, анон (?), 21:44, 14/08/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Этим кто-то пользуется?
     
     
  • 3.6, maximnik0 (?), 03:55, 15/08/2018 [^] [ответить]     [к модератору]  
  • –4 +/
    Пользуются и достаточно много народа C NFS4 все грустно,реально сталкивался с ... весь текст скрыт [показать]
     
     
  • 4.14, Stax (ok), 14:29, 15/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Вы что-то гоните NFS никуда не может скидывать протокол максимум в рамках подв... весь текст скрыт [показать]
     
     
  • 5.15, maximnik0 (?), 21:55, 15/08/2018 [^] [ответить]    [к модератору]  
  • +/
    >Вы что-то гоните. NFS никуда не может скидывать протокол

    Ну сам же наблюдал такую вещь,правда клиенты монтировались "жестко" ,может проблемы были в ядре ,х.з ,при хороших нагрузках возникали большие таймауты и смотришь пересоединение с пониженой версией .

    >Ну давайте расскажите, каким образом одно tcp-соединение через 2049 порт

    D-Link , как выяснилось не очень любит мелкие фрагментированные пакеты,любит их дефрагментировать ....

     
     
  • 6.18, Stax (ok), 11:42, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Ну сам же наблюдал такую вещь,правда клиенты монтировались "жестко" ,может проблемы были в ядре ,х.з ,при хороших нагрузках возникали большие таймауты и смотришь пересоединение с пониженой версией .

    o.O Насколько я знаю, подобной логики там точно нигде нет. Чтобы при пересоединении пробовали другую версию. Вообще, если умеете 4 - залочьте ее и все.

    > D-Link , как выяснилось не очень любит мелкие фрагментированные пакеты,любит их дефрагментировать ....

    Предположим. Но тогда поясните, каким образом фрагментация или дефрагментация IP-пакетов влияет (и вообще заметна) с точки зрения TCP, по которому ходит NFS?

     
     
  • 7.19, maximnik0 (?), 02:56, 17/08/2018 [^] [ответить]    [к модератору]  
  • +/
    >.O Насколько я знаю, подобной логики там точно нигде нет.

    Вот и кому верить? Журнал Системный администратор ,номер не помню, было описание 4 версии протокола, написано что полностью совместимо с 2 и 3 версией протокола.В 4.1 веденно пару расширений и возможность для безопасности заблокировать на 4 версии протокола.Т.к сквозное шифрование было принято только в 4 версии.
    С дефрагментацией на маршрутизаторе ощутимо падала скорость на клиентах .

     
     
  • 8.20, Stax (ok), 11:30, 17/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > описание 4 версии протокола, написано что полностью совместимо с 2 и 3 версией протокола.

    Где оно совместимо, когда:
    1) stateful, в отличие от statless 2 и 3 версии
    2) Не использует внешние mountd и lock manager, вместо этого они стали частью протокола (собственно, эти не-statless части, подключенные снаружи к обычному nfs 2/3 версии создавали проблемы). Соответственно основной протокол внедрил в себя все эти операции
    3) Операции объединяются

    Это все разница чисто с точки зрения протокола, не фич. А "совместимо" разве что в смысле что все работают через rpc и их можно повесить за одним мультиплексором rpc, который договорится о версии и переключит, куда надо.

    Может, тот факт, что nfs v2/3 даже на клиенте реализован одним драйвером ФС, а v4 - совершенно другим, тоже о чем-то говорит.

     
  • 2.17, Аноним (17), 11:28, 16/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Вчера на минт обновление пришло, сеть видит.
     
  • 2.22, Sergey (??), 10:57, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Отвечу сам себе, в вышеперечисленных репозиториях самба 4.8.4 уже есть.
     
  • 1.8, ryoken (ok), 07:17, 15/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Подскажите простому ДебСид-юзеру. Возможно ли хотя бы в теории заменить AD DS +SMB на что-то другое, к чему подцеплять (простите) вендовые же телеги?
     
     
  • 2.9, anon186 (?), 07:48, 15/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    GINA.  Бесплатного и не протухшего ничего нет.  Вот пример https://www.rohos.com/gina-authentication-module.htm
     
  • 2.10, Аноним (-), 08:46, 15/08/2018 [^] [ответить]    [к модератору]  
  • +/
    А самба четыре чем тебе не нравится?
     
     
  • 3.11, ryoken (ok), 09:36, 15/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Опять же - вопрос теоретический. Сделать структуру на базе вменяемых вещей (LDAP-сервер, и что там ещё надо для работы), которая дял вендовых клиентосистем будет выглядеть как обычный AD DS.
     
     
  • 4.12, 1 (??), 09:59, 15/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Тебе же сказали - Samba4. Как раз то, что ты хочешь.

    Если сложно - смотри реализацию в Calculate Linux.

     
  • 2.16, evkogan (?), 10:47, 16/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Если ради интереса, то ответы выше.
    А если для продакшена, то надо понимать конечную цель, объем Win их распредеоенность и т.п. А также необходимый функционал.
    Для маленькой инфраструктуры сойдет и samba4.
    В большой организации если большинство ПК на Win и Вы этого менять не собираетесь, то ничего лучше AD нет. Ну вот умеет MS делать корпоративные продукты с интеграцией внутри MS.

    А если в плане перевода всех ПК на NIX, то у Вас вопрос стоит неправильно. Надо создавать NIX инфраструктуру (пока интегрированную с Win) и переводить ПК. А как управляться с остатками будет зависеть чего сколько останется.

     
  • 1.13, Catwoolfii (ok), 11:50, 15/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Если сложно самому осилить (на базе samba4), попробуйте nethserver, там это из коробки.
     
  • 1.23, Аноним (23), 10:23, 23/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Файловую 1С уже можно на ней запускать? С 1998 года жду этого момента.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor