https://www.opennet.me/openforum/vsluhforumID3/111314.html Опубликованы (https://lists.samba.org/archive/samba-announce/2017/000406.html) корректирующие обновления Samba 4.6.4, 4.5.10 и 4.4.14, в которых устранена критическая уязвимость (https://www.samba.org/samba/security/CVE-2017-7494.html) (CVE-2017-7494 (https://security-tracker.debian.org/tracker/CVE-2017-7494)), позволяющая организовать выполнение кода на сервере при наличии доступа на запись в предоставляемое сервером хранилище. Уязвимость позволяет клиенту загрузить разделяемую библиотеку на SMB-хранилище и инициировать её загрузку сервером. Проблема вызвана ошибкой в реализации IPC для именованных каналов для клиентов Windows NT.<br><br><br><br><br>Уязвимости подвержены все версии Samba, начиная с 3.5.0, поэтому дополнительно подготовлены патчи (http://samba.org/samba/patches/) для старых версий. В качестве обходного пути защиты можно добавить в параметр "nt pipe support = no" в секцию "[global]" smb.conf и перезапустить smbd. Обновления пакетов уже сформированы для FreeBSD (http://www.vuxml.org/freebsd/), Debian (htt https://www.opennet.me/openforum/vsluhforumID3/111314.html#28 Thu, 25 May 2017 14:21:53 GMT &gt; Гляньте при желании пакет selinux-policy-alt.<br><br>ключевой вопрос - включается ли оно при установке _по_умолчанию_? <br>Если нет - то смотреть особенно и не на что - даже у редгада, у которого включается, хотя и в permissive mode, куча вполне очевидных, десять лет известных мест, которые не работают без ручных пинков ни в какой вообразимой разумом конфигурации.<br><br>Вот, типичная юзерская центось v6, что было под рукой (в "настоящем" редхате все то же):<br>allow shutdown_t var_log_t:file { write open };<br>то есть банально - они даже не сообразили, что shutdown на каждой перезагрузке пишет в wtmp.<br>Этому лет - я уж не знаю сколько, наверное, вот сколько вообще шестым версиям. Как и то, каким местом они эти политики разрабатывают, если даже никогда не заглядывают потом в audit log.<br><br> https://www.opennet.me/openforum/vsluhforumID3/111314.html#27 Thu, 25 May 2017 13:00:31 GMT &gt; Михаил, и как у нас с selinux ?<br><br>Гляньте при желании пакет selinux-policy-alt.<br> https://www.opennet.me/openforum/vsluhforumID3/111314.html#26 Thu, 25 May 2017 12:59:37 GMT &gt; Для АЛЬТА не актуально же, ведь да?<br><br>[CODE]* Wed May 24 2017 Evgeny Sinelnikov &lt;sin@altlinux&gt; 4.6.4-alt1.S1<br>- Update to second spring security release<br>- Fix longtime initialization bug in ldb proxy<br>- Security fixes:<br> + CVE-2017-7494 Remote code execution from a writable share[/CODE]<br> https://www.opennet.me/openforum/vsluhforumID3/111314.html#25 Thu, 25 May 2017 11:05:11 GMT Когда ждать порта под AFS?<br> https://www.opennet.me/openforum/vsluhforumID3/111314.html#24 Thu, 25 May 2017 09:57:15 GMT вам можно, кстати, а вы заплатили налоги, заняли очередь, проголосовали, анархист?<br> https://www.opennet.me/openforum/vsluhforumID3/111314.html#23 Thu, 25 May 2017 09:39:00 GMT &gt; А, на это ж сегодня эмбарго снято?<br>&gt; В общем, у нас в курсе.<br><br>к великому сожалению это очень актуально для РеактОС.<br><br> https://www.opennet.me/openforum/vsluhforumID3/111314.html#22 Thu, 25 May 2017 09:36:02 GMT не так, Самба- это хорошо, выполнить код удаленно- это плохо, сервер- это хорошо, итого получается хорошо.<br> https://www.opennet.me/openforum/vsluhforumID3/111314.html#20 Wed, 24 May 2017 17:52:03 GMT WannaDecryptor уже получил статус Platinum на сайте WineHQ.<br> https://www.opennet.me/openforum/vsluhforumID3/111314.html#19 Wed, 24 May 2017 17:20:13 GMT кстати, внезапно - неактуально для редхата и клонов.<br>selinux target для самбы благополучно блокирует попытку загрузки подсунутого .so, если только специально этого не ломать.<br><br>Михаил, и как у нас с selinux ? <br><br>