The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от opennews (?), 14-Авг-18, 20:24 
Подготовлены (https://www.mail-archive.com/samba-announce@lists.samba...) корректирующие выпуски пакета Samba 4.8.4, 4.7.9 и 4.6.16, в которых устранено несколько уязвимостей:

-  CVE-2018-1139 - позволяет применить для аутентификации устаревший алгоритм NTLMv1, даже если он отключен в настройках;
-   CVE-2018-1140 - отсутствие проверки на нулевой указатель может привести к краху Samba AD DC при отправке определённым образом оформленных запросов через   DNS или LDAP;-   CVE-2018-10858 - при обращении клиента к серверу, подконтрольному злоумышленнику,  возможно повреждение областей памяти  libsmbclient;-  CVE-2018-10918 - отсутствие проверки на нулевой указатель может привести к краху Samba AD DC через отправку аутентифицированного запроса через  DRSUAPI RPC;-   CVE-2018-10919 - отсутствие проверки прав доступа позволяет выяснить значения конфиденциальных атрибутов через формирование поискового запроса в LDAP.


URL: https://www.mail-archive.com/samba-announce@lists.samba...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49133

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  –1 +/
Сообщение от denmatv94email (?), 14-Авг-18, 20:24 
Итак, приготовились, и ждем в Debian!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от Аноним (2), 14-Авг-18, 20:27 
Уже несколько часов как пришло.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

21. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от Sergeyemail (??), 17-Авг-18, 15:34 
А в каком репозитории доступна версия 4.8.4 ?

А то я туплю что то и старше 4.8.2 обновиться не получается.
Добавлены репозитории для Debian 9 stable, testing, stableupdates, backports:


deb http://security.debian.org/debian-security stretch/updates main contrib
deb-src http://security.debian.org/debian-security stretch/updates main contrib


deb http://deb.debian.org/debian/ stretch-updates main contrib
deb-src http://deb.debian.org/debian/ stretch-updates main contrib

deb http://security.debian.org/ stretch/updates main
deb-src http://security.debian.org/ stretch/updates main

deb http://mirror.yandex.ru/debian stretch main
deb-src http://mirror.yandex.ru/debian stretch main

deb http://mirror.yandex.ru/debian stretch-updates main
deb-src http://mirror.yandex.ru/debian stretch-updates main

deb http://mirror.yandex.ru/debian/ stretch-proposed-updates main non-free contrib
deb-src http://mirror.yandex.ru/debian/ stretch-proposed-updates main non-free contrib


deb http://ftp.ru.debian.org/debian/ testing main non-free contrib
deb-src http://ftp.ru.debian.org/debian/ testing main non-free contrib


deb http://ftp.ru.debian.org/debian/ unstable main non-free contrib
deb-src http://ftp.ru.debian.org/debian/ unstable main non-free contrib

deb     http://httpredir.debian.org/debian stretch-updates main
deb-src http://httpredir.debian.org/debian stretch-updates main

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от Аноним (3), 14-Авг-18, 20:45 
Сетку видет виндовую теперь?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  –1 +/
Сообщение от анан (?), 14-Авг-18, 20:55 
нет
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от Rubanok (?), 15-Авг-18, 06:54 
как теперь жить?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  –2 +/
Сообщение от анон (?), 14-Авг-18, 21:44 
Этим кто-то пользуется?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  –4 +/
Сообщение от maximnik0 (?), 15-Авг-18, 03:55 
>Этим кто-то пользуется?

Пользуются и достаточно много народа.

C NFS4  все грустно,реально сталкивался с ситуацией когда сервер скидывал протокол соединения на 3  а то и 2 версию, а там с скоростью дело швах, и кричащие спецы NFS наше все куда то сдулись и исчезли.Диагностировать ошибки в протоколе сложно ,нужно ставить спецсофт который еще задолбался я собирать как в репозитарий основных дистрибутивов не входит , или снифер с падчами .Очень чувствителен к прошивкам маршрутизаторов (в разных версиях разные задержки обработки), такое ощущение что на этот протокол забили и не кто уже не тестирует и не пользуеться :-(

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +1 +/
Сообщение от Stax (ok), 15-Авг-18, 14:29 
Вы что-то гоните. NFS никуда не может скидывать протокол (максимум в рамках подверсии, типа 4.1 и 4.0) - если 4, то это 4, а если 3, то это 3. Это разные протоколы, 3 и 4 реализованы в достаточной степени *независимо* и  обрабатываются разными потоками в ядре: на какой подключаемся, такой и работает. То, что через rpc разруливается версия, никак не меняет того факта, что реализация за ней и обработка - разделены. Во всяком случае, в линуксе. На солярке несколько иначе.

Про "швах со скоростью" это вы тоже маленько гоните. Ну в NFSv2 может и да, а NFSv3, если все правильно настроить (как минимум tcp режим и правильные буферы) скорость отличная. Иногда даже лучше, чем на 4. Хотя на 4-ке немного проще. Вообще, если есть проблемы со скоростью - ищите их на клиенте. А использовать старые версии не стоит, хотя бы потому, что там керберос был через задницу (а без него нет ни авторизации, ни аутентификации. Иллюзия аутентификции только разве что).

> Очень чувствителен к прошивкам маршрутизаторов (в разных версиях разные задержки обработки),

Эээ ЧТО? Ну давайте расскажите, каким образом одно tcp-соединение через 2049 порт (раз уж говорим про актуальную 4-ую версию) может быть "чувствительно к прошивкам" или задержкам из-за маршрутизации и что у вас за маршутизатор такой, который остальной трафик пропускает нормально, а с NFS лажает. Только не надо про NFSv3, он не предназначен для работы через интернет и машрутизаторы и требует хелперов - это возможно, но смысла никакого нет, когда NFSv4 работает без каких-либо хаков.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от maximnik0 (?), 15-Авг-18, 21:55 
>Вы что-то гоните. NFS никуда не может скидывать протокол

Ну сам же наблюдал такую вещь,правда клиенты монтировались "жестко" ,может проблемы были в ядре ,х.з ,при хороших нагрузках возникали большие таймауты и смотришь пересоединение с пониженой версией .

>Ну давайте расскажите, каким образом одно tcp-соединение через 2049 порт

D-Link , как выяснилось не очень любит мелкие фрагментированные пакеты,любит их дефрагментировать ....

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от Stax (ok), 16-Авг-18, 11:42 
> Ну сам же наблюдал такую вещь,правда клиенты монтировались "жестко" ,может проблемы были в ядре ,х.з ,при хороших нагрузках возникали большие таймауты и смотришь пересоединение с пониженой версией .

o.O Насколько я знаю, подобной логики там точно нигде нет. Чтобы при пересоединении пробовали другую версию. Вообще, если умеете 4 - залочьте ее и все.

> D-Link , как выяснилось не очень любит мелкие фрагментированные пакеты,любит их дефрагментировать ....

Предположим. Но тогда поясните, каким образом фрагментация или дефрагментация IP-пакетов влияет (и вообще заметна) с точки зрения TCP, по которому ходит NFS?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от maximnik0 (?), 17-Авг-18, 02:56 
>.O Насколько я знаю, подобной логики там точно нигде нет.

Вот и кому верить? Журнал Системный администратор ,номер не помню, было описание 4 версии протокола, написано что полностью совместимо с 2 и 3 версией протокола.В 4.1 веденно пару расширений и возможность для безопасности заблокировать на 4 версии протокола.Т.к сквозное шифрование было принято только в 4 версии.
С дефрагментацией на маршрутизаторе ощутимо падала скорость на клиентах .

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от Stax (ok), 17-Авг-18, 11:30 
> описание 4 версии протокола, написано что полностью совместимо с 2 и 3 версией протокола.

Где оно совместимо, когда:
1) stateful, в отличие от statless 2 и 3 версии
2) Не использует внешние mountd и lock manager, вместо этого они стали частью протокола (собственно, эти не-statless части, подключенные снаружи к обычному nfs 2/3 версии создавали проблемы). Соответственно основной протокол внедрил в себя все эти операции
3) Операции объединяются

Это все разница чисто с точки зрения протокола, не фич. А "совместимо" разве что в смысле что все работают через rpc и их можно повесить за одним мультиплексором rpc, который договорится о версии и переключит, куда надо.

Может, тот факт, что nfs v2/3 даже на клиенте реализован одним драйвером ФС, а v4 - совершенно другим, тоже о чем-то говорит.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

17. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от Аноним (17), 16-Авг-18, 11:28 
Вчера на минт обновление пришло, сеть видит.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

22. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от Sergeyemail (??), 20-Авг-18, 10:57 
Отвечу сам себе, в вышеперечисленных репозиториях самба 4.8.4 уже есть.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от ryoken (ok), 15-Авг-18, 07:17 
Подскажите простому ДебСид-юзеру. Возможно ли хотя бы в теории заменить AD DS +SMB на что-то другое, к чему подцеплять (простите) вендовые же телеги?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +1 +/
Сообщение от anon186 (?), 15-Авг-18, 07:48 
GINA.  Бесплатного и не протухшего ничего нет.  Вот пример https://www.rohos.com/gina-authentication-module.htm
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от Аноним (-), 15-Авг-18, 08:46 
А самба четыре чем тебе не нравится?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  –1 +/
Сообщение от ryoken (ok), 15-Авг-18, 09:36 
Опять же - вопрос теоретический. Сделать структуру на базе вменяемых вещей (LDAP-сервер, и что там ещё надо для работы), которая дял вендовых клиентосистем будет выглядеть как обычный AD DS.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +1 +/
Сообщение от 1 (??), 15-Авг-18, 09:59 
Тебе же сказали - Samba4. Как раз то, что ты хочешь.

Если сложно - смотри реализацию в Calculate Linux.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +2 +/
Сообщение от evkogan (?), 16-Авг-18, 10:47 
Если ради интереса, то ответы выше.
А если для продакшена, то надо понимать конечную цель, объем Win их распредеоенность и т.п. А также необходимый функционал.
Для маленькой инфраструктуры сойдет и samba4.
В большой организации если большинство ПК на Win и Вы этого менять не собираетесь, то ничего лучше AD нет. Ну вот умеет MS делать корпоративные продукты с интеграцией внутри MS.

А если в плане перевода всех ПК на NIX, то у Вас вопрос стоит неправильно. Надо создавать NIX инфраструктуру (пока интегрированную с Win) и переводить ПК. А как управляться с остатками будет зависеть чего сколько останется.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +1 +/
Сообщение от Catwoolfii (ok), 15-Авг-18, 11:50 
Если сложно самому осилить (на базе samba4), попробуйте nethserver, там это из коробки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимо..."  +/
Сообщение от Аноним (23), 23-Авг-18, 10:23 
Файловую 1С уже можно на ней запускать? С 1998 года жду этого момента.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor