Представлены (http://www.mail-archive.com/samba-announce@lists.samba....) корректирующие обновления Samba 4.5.3, 4.4.8 и 4.3.13, в которых устранена порция уязвимостей. Одна из проблем (CVE-2016-2123 (https://www.samba.org/samba/security/CVE-2016-2123.html)) позволяет осуществить атаку, которая может привести к удалённому выполнению кода на сервере. Уязвимость проявляется только в Samba 4. Для проведения атаки требуется аутентифицированный доступ к серверу.
Уязвимость вызвана ошибкой в функции ndr_pull_dnsp_name, которую можно использовать для инициирования переполнения буфера при обработке специально оформленных атрибутов dnsRecord в БД Samba Active Directory. Атаку может совершить любой пользователь, имеющий возможность записи атрибута dnsRecord через LDAP. По умолчанию полномочия записи dnsRecord для новых DNS-объектов имеются у всех аутентифицированных пользователей LDAP.Проблема пока не исправлена в дистрибутивах Linux (Debian (https://security-tracker.debian.org/tracker/CVE-2016-2123), Ubuntu (https://www.ubuntu.com/usn/), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-2123)). RHEL и CentOS 5, 6, 7 проблеме не подвержены, так поставляют пакеты Samba без AD DNS Server. В качестве обходного пути защиты для зоны DNS можно изменить уровень ntSecurityDescriptor, но это приведёт урезанию нужной функциональности и изменению поведения контроллера домена Active Directory.
Из других устранённых уязвимостей отмечаются:
- CVE-2016-2125 (https://www.samba.org/samba/security/CVE-2016-2125.html) - делегирование излишних полномочий серверу Kerberos. Samba-клиент всегда запрашивает делегируемый тикет при аутентификации через Kerberos, что подразумевает наличие у сервера Kerberos тикета "Ticket Granting Ticket" (TGT), позволяющего получить любой доступ от имени аутентифицированного пользователя или сервиса;
- CVE-2016-2126 (https://www.samba.org/samba/security/CVE-2016-2126.html) - уязвимость в коде проверки Kerberos PAC, которая может привести к повышению привилегий. Удалённый аутентифицированный атакующий может инициировать крах процесса winbindd отправив легитимный тикет Kerberos с некорректной контрольной суммой arcfour-hmac-md5 PAC. Локальный сервис с доступом к привилегированному каналу связи с winbindd может инициировать оседание в кэше winbindd некорректных прав доступа.URL: http://www.mail-archive.com/samba-announce@lists.samba....
Новость: https://www.opennet.ru/opennews/art.shtml?num=45718
Как же вы задолбали «диванно-бездарные аналитики»… Тебя чего-то не устраивает мля?!? НАПИШИ И СОЗДАЙ ЛУЧШЕ!!! Но нет же, у вас же банальных знаний написания кода вообще напрочь отсутствует — но зато, обосрать всех и вся (даже не зная предмета), это вы всегда готовы... (((
"Сделай лучше" - это самый убогий контраргумент из всех. Я не должен быть веб-дизайнером, чтобы сказать, что дизайн сайта - кал. Я не должен быть Перуном, чтобы сказать, что гроза какая-то слабенькая. Я не должен быть шеф-поваром ресторана, чтобы понять, что яичница пригорела. Улавливаешь? Мы же поливаем Windows, хотя никто из нас даже операционки не написал :-)Я не тот анон, если что.
> хотя никто из нас даже операционки не написалГоворите пожалуйста за себя!
Денис всегда за себя говорил ;)
> Как же вы задолбали «диванно-бездарные аналитики»… Тебя чего-то не устраивает
> мля?!? НАПИШИ И СОЗДАЙ ЛУЧШЕ!!! Но нет же, у вас же
> банальных знаний написания кода вообще напрочь отсутствует — но зато, обосрать
> всех и вся (даже не зная предмета), это вы всегда готовы...
> (((У Вас есть исходные коды Windows10? Иначе "знать предмет" (а именно AD от компании Майкрософт) невозможно...
Именно ЭТО не устраивает и меня, и автора, насколько я понимаю.
Возможно, дыры такого же уровня в оригинальном Майкрософт AD устраивают конкретно Вас? Или Вы хотите сказать, что там их нет и никогда не было, а вот в ОТКРЫТОЙ реализации их гора?К сожалению, написать открытую реализацию насквозь дырявого софта от Майкрософт, по-видимому, невозможно. Во всяком случае, с первых трех попыток и даже самим авторам (см. Windows Service packs).
> У Вас есть исходные коды Windows10? Иначе "знать предмет"
> (а именно AD от компании Майкрософт) невозможно...Возможно, см. историю проекта Samba.
Чушь какая-то. Любое сложное и популярное ПО торчащее в сеть по определению будут жахать - это выгодно.
Смотри соседнюю тему "Релиз OpenSSH 7.4". Там кто виноват?
> Смотри соседнюю тему "Релиз OpenSSH 7.4". Там кто виноват?Торвальдс? Гипотеза: Он называл опенбсдшников "дрочащими на безопасность обезъянами", они же, приняв критику, решили стать мимимишками, как нравится Линусу. И вот результат. Бумерангом пострадали дистрибутивы GNU/Linux.
> У Вас есть исходные коды Windows10? Иначе "знать предмет" (а именно AD
> от компании Майкрософт) невозможно...для написания сосамбы без дырок не надо знать ничего об AD в windows10 (тем более что samba4 это AD примерно windows NT 4.0, и да, те протоколы либо опубликованы, либо реверс-инженерены и тоже опубликованы), необходимо и достаточно научиться писать _свой_ код без чудовищных уродств. А авторы этого чуда наивно думают, что выполнив по всему коду контекстную замену strcmp на strncmp они решили все проблемы (уже лет пятнадцать так думают).
> Именно ЭТО не устраивает и меня, и автора, насколько я понимаю.
> Возможно, дыры такого же уровня в оригинальном Майкрософт AD устраивают конкретно Вас?тем, кого они устраивают (я, правда, что-то не слышал о remote code exec от системного акаунта в ms ad, все больше privilege escalation, преимущественно позволяющие засрать собственную рабочую среду) совершенно не нужна сасамба - у них уже есть windows 10 (даже, неожиданно, бесплатная и без sms)
А те, кому нужно держать файл-сервера на всей из себя надежной и эффективной платформе (кто сказал "2016"?!) вынуждены либо трахаться со stone age nfs (ибо чуть менее stone age реализация патентована дохлым саном), либо вот - сасамбо. Ибо ничего другого толпа обезьянок породить не сумела за двадцать с лишним лет.
> К сожалению, написать открытую реализацию насквозь дырявого софта от Майкрософт,
вас никто не просит реализовывать дырявый код от microsoft - вас за это еще и посадить могут. Дыр в _протоколах_ имени microsoft (не недостаточной глубины защиты, причем уходящей еще во времена ibm, а именно дыр) я что-то не припомню.
Замечу что весь такой открытый nfs - сплошная дыра by design, нормальных реализаций nis+ (который тоже не айс) не от сан мы никогда не дождемся. Причем в попытках справиться с этой сплошной дырой - испортили массу полезных свойств, изначально заложенных в протокол. В отличие от AD, который именно развивается, и уже довольно далеко ушел от времен NT4.
> необходимо и достаточно научиться писать _свой_ код без чудовищных уродствIDL
Ниачём.
Дерьмо не обязательно есть самому, чтобы понять, что его есть нельзя.
> Дерьмо не обязательно есть самому, чтобы понять, что его есть нельзя.Наина Ельцина с тобой категорически не согласна.
под конец года прям без остановки ... и чуть ли не всё с удаленным выполнением кода
это лучше, чем если бы всё оставалось зеро-деями.