The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

12.04.2016 21:50  Раскрыты детали уязвимости Badlock в Samba

Раскрыты подробности об анонсированной в марте уязвимости Badlock (CVE-2016-2118), которая затрагивает почти все версии Windows и Samba. Уязвимость оказалась не столько критичной (CVSS 7.1/6.4 из 10) как предполагалось и может быть использована для совершения MITM-атаки, при наличии у злоумышленника доступа к шлюзу или локальной сети клиента или сервера, или для инициирования удалённого отказа в обслуживании (DoS). Проблема устранена в выпусках Samba 4.4.2, 4.3.8 и 4.2.11 (исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращена), в которых также исправлено ещё семь уязвимостей.

Суть уязвимости Badlock сводится к тому, что атакующий, способный перехватить DCERPC-трафик между клиентом и сервером, может отправить от имени клиента собственные команды и выполнить на сервере операции в соответствии с привилегиями перехваченного пользователя. Наибольшую опасность представляют атаки, в результате которых может быть перехвачен трафик администратора контроллера домена, что позволяет злоумышленникам получить доступ к просмотру и изменению БД контроллера домена, в том числе к базе хэшей паролей. В случае обычного файлового сервера, атакующие могут изменить права доступа к файлам или директориям.

В рамках работы по устранению уязвимости в файле конфигурации представлена новая директива "allow dcerpc auth level connect", управляющая доступом к протоколу DCERPC при аутентификации только на этапе установки соединения (по умолчанию доступ в режиме DCERPC_AUTH_LEVEL_CONNECT теперь запрещён). Также изменён применяемый по умолчанию уровень аутентифицированных привязок, вместо DCERPC_AUTH_LEVEL_CONNECT теперь предлагается DCERPC_AUTH_LEVEL_INTEGRITY, подразумевающий применение дополнительного контроля целостности по цифровой подписи не только при инициировании соединения, но и для каждого сообщения. Дополнительно администраторам рекомендовано применить настройки "server signing = mandatory" и "ntlm auth = no", без которых угроза проведения MITM-атаки сохраняется для файловых серверов и классических контроллеров домена NT4/Samba3, но ценой включения данных настроек является значительное снижение производительности.

Другие устранённые уязвимости:

  • CVE-2015-5370 (серия ошибок в коде DCE-RPC)
  • CVE-2016-2110 (MITM-атака в реализации NTLMSSP)
  • CVE-2016-2111 (спуфинг NETLOGON)
  • CVE-2016-2112 (проблемы с включением проверки целостности в клиенте и сервере LDAP)
  • CVE-2016-2113 (отсутствие проверки сертификата TLS)
  • CVE-2016-2114 (не применяется "server signing = mandatory")
  • CVE-2016-2115 (отсутствие защиты целостности трафика SMB IPC)


  1. Главная ссылка к новости (https://www.samba.org/samba/la...)
  2. OpenNews: Релиз Samba 4.4.0 с поддержкой многоканального SMB3
  3. OpenNews: Критическая уязвимость в Samba
  4. OpenNews: В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в реализации NetBIOS
  5. OpenNews: Критическая удалённая уязвимость в Samba, предоставляющая root-доступ к серверу
  6. OpenNews: Обновление Samba 4.3.6, 4.2.9 и 4.1.23 с устранением опасных уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: badlock, samba, smb
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, grec, 22:04, 12/04/2016 [ответить] [смотреть все]
  • –2 +/
    > (исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращена),

    Идиотизм. Разработчики софта и дистрибутивов живут на разных планетах, по видимому.

     
     
  • 2.6, Аноним, 23:06, 12/04/2016 [^] [ответить] [смотреть все] [показать ветку]
  • –4 +/
    До боли напоминает подход шиндоус.
     
     
  • 3.10, cmp, 23:57, 12/04/2016 [^] [ответить] [смотреть все]
  • +/
    То есть распространение бытовых роутеров, с прошивкой до марта с этого момента... весь текст скрыт [показать]
     
     
  • 4.13, Admino, 01:25, 13/04/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    А роутеры всё равно не обновляют, даже если обновление от разработчика выйдет.
     
     
  • 5.21, cmp, 07:41, 13/04/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну, так-то на них и дефолтный пароль не меняют Вопрос обширный, но если проводи... весь текст скрыт [показать]
     
     
  • 6.28, scorry, 10:44, 13/04/2016 [^] [ответить] [смотреть все]  
  • +/
    > Ну, так-то на них и дефолтный пароль не меняют.

    Ну это не везде, поверьте.

     
  • 3.18, Аноним, 06:42, 13/04/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    Ты готов убивать любого, чьё мнение отличается от твоего Какой твоё любимый цв... весь текст скрыт [показать]
     
     
  • 4.23, Коля, 08:19, 13/04/2016 [^] [ответить] [смотреть все]  
  • +/
    конечно! зачем такая мама? другую найду.
     
  • 3.30, Michael Shigorin, 11:30, 13/04/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Так шлите же патчи!

    PS 2 greg: таким обычно дистрибутивы занимаются.

     
  • 2.9, kerneliq, 23:51, 12/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Даже в centos 4.2
     
  • 2.27, Аноним, 10:25, 13/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Было бы прикольно, если бы пользователи устаревшей самбы при подключении шары ло... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, Аноним, 12:24, 13/04/2016 [^] [ответить] [смотреть все]  
  • +/
    >пользователи
    >в лог

    Как там у вас, в Валиноре, погодка?

     
     
  • 4.32, kerneliq, 13:53, 13/04/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    А что такого? Прилетит им в лог, но они его не будут смотреть.
     
  • 3.38, Аноним, 13:39, 15/04/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну зачем тайбомбу в лог лучше сразу на экран как xscreensaver Я устарел Я м... весь текст скрыт [показать]
     
  • 1.2, Аноним, 22:08, 12/04/2016 [ответить] [смотреть все]  
  • +2 +/
    Ну вот банальный MITM и DoS, а столько шуму устроили, даже имя отдельное для уяз... весь текст скрыт [показать]
     
     
  • 2.3, Disaron, 22:15, 12/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Это потому, что прошлогодняя дыра затрагивала только самбу, а это и винду тоже ... весь текст скрыт [показать] [показать ветку]
     
  • 2.4, Аноним, 22:27, 12/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Страх и истерия - хлеб для всяких "экспертов по безопасности".
     
     
  • 3.41, Аноним, 04:14, 16/04/2016 [^] [ответить] [смотреть все]  
  • +/
    В данном случае есть повод Можно перехватить управление IT в большой компании с... весь текст скрыт [показать]
     
  • 2.40, Анонис, 04:08, 16/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Этот банальный MITM позволяет небанально получить права enterprise admin в activ... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, 123, 22:41, 12/04/2016 [ответить] [смотреть все]  
  • +1 +/
    >>способный перехватить DCERPC-трафик

    Человек имеющий слепок ключей от машины таки сможет её открыть.

    >>в результате которых может быть перехвачен трафик администратора контроллера домена,

    Вы все еще сидите под root?


     
     
  • 2.26, maximnik0, 09:53, 13/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Новости внимательно не читаем Проблем в реализации протокола ,то есть затрагив... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.36, soarin, 18:57, 13/04/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    У apple своя SMBX
    Сомневаюсь, что подвержена этой уязвимости.
     
  • 3.39, Аноним, 13:44, 15/04/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Мы да А вы нет Если существует трафик администратора контроллера домена , зна... весь текст скрыт [показать]
     
     
  • 4.42, Аноним, 04:17, 16/04/2016 [^] [ответить] [смотреть все]  
  • +/
    Представь себе, администратор AD иногда логинится, по делам администраторским Э... весь текст скрыт [показать]
     
  • 1.11, й, 00:36, 13/04/2016 [ответить] [смотреть все]  
  • –1 +/
    > исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращена

    горячо передают привет:
    * Debian 8 от 2015 года с 4.1
    * Ubuntu LTS от 2014 года с 4.0

    CentOS 7 не передаёт, там 4.2.

     
     
  • 2.12, Anonplus, 01:17, 13/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А это проблемы мейнтейнеров дистрибутивов Если у дистра политика долго поддерж... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, Admino, 01:26, 13/04/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Да, скорее всего, дебианщики быстро сделают, убунтушники быстро к себе утащат, в... весь текст скрыт [показать]
     
  • 3.33, й, 15:06, 13/04/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    а вот и нет samba выпустила патчи и для старых выпусков https www samba org ... весь текст скрыт [показать]
     
  • 2.15, Аноним, 02:44, 13/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ubuntu-server 16.04

    samba-4.3
    азазаза

     
  • 2.16, soarin, 04:43, 13/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ubuntu LTS от 2014 года с 4.1
     
     
  • 3.34, kerneliq, 17:38, 13/04/2016 [^] [ответить] [смотреть все]  
  • +/
    centos 7 от 2014 с 4.2
    ОПС?
     
     
  • 4.37, soarin, 20:29, 13/04/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Я не понял при чем тут Обязательное Пенсионное Страхование, но centos 7 позже вы... весь текст скрыт [показать]
     
  • 2.17, tyuiop, 06:34, 13/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    * Ubuntu LTS от 2012 года

    Должна же ещё поддерживаться

     
  • 2.35, Пользователь Debian, 18:27, 13/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Для Debian будут выпущены обновлённые версии для Wheezy oldstable и Jessie те... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, Nobody, 19:25, 23/04/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Хреново тестировал, в новой самбе багов больше чем во всем Linux вместе взятом ... весь текст скрыт [показать]
     
     
  • 4.45, scorry, 22:27, 23/04/2016 [^] [ответить] [смотреть все]  
  • +/
    Вряд ли Ты же живой, а твоё существование доказывает, что даже нежизнеспособные... весь текст скрыт [показать]
     
     
  • 5.46, Nobody, 22:38, 23/04/2016 [^] [ответить] [смотреть все]  
  • +/
    Ты наркоман что ли Когда рухнула линуховая сеть из-за последнего обновления сам... весь текст скрыт [показать]
     
     
  • 6.48, scorry, 15:12, 24/04/2016 [^] [ответить] [смотреть все]  
  • +/
    Кормишься, зелёное - Не, ты тут не наешься ... весь текст скрыт [показать]
     
     
  • 7.49, Nobody, 15:35, 24/04/2016 [^] [ответить] [смотреть все]  
  • +/
    > Кормишься, зелёное? :-) Не, ты тут не наешься.

    Да ты упopoт))


     
  • 1.19, nonecto, 06:44, 13/04/2016 [ответить] [смотреть все]  
  • –1 +/
    тем не менее, ядро линукс динамили всё это время. А теперь ВАХ шайтан 4.5.1
     
  • 1.20, Аноним, 07:37, 13/04/2016 [ответить] [смотреть все]  
  • +/
    Ща посмотрим на шапкину поддержку релиза до 2020го года
     
     
  • 2.22, Аноним, 07:45, 13/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Да, пофиксили, поддержка работает
     
  • 1.25, Андрей, 09:15, 13/04/2016 [ответить] [смотреть все]  
  • +3 +/
    «... затрагивает почти все версии Windows и Samba».
    Это, что «by design» что ли? Т.е. на уровне архитектуры и тех спеков, которые использут как разработчики windows, так и samba? o_O
     
     
  • 2.29, КО, 11:06, 13/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Да протокол позволяет не требовать подписывать каждый пакет.
     
  • 1.43, Noname, 23:45, 21/04/2016 [ответить] [смотреть все]  
  • +/
    И как теперь организовывать безпарольный доступ к шарам и принтерам? Они че там с дуба рухнули? Где взять мануалы по настройке новой самбы?
     
     
  • 2.47, Nobody, 23:12, 23/04/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > И как теперь организовывать безпарольный доступ к шарам и принтерам? Они че
    > там с дуба рухнули? Где взять мануалы по настройке новой самбы?

    Да им глубоко нас рать, они очередное глючилово выс рали, которое кто-то в тяжелом угаре писал, а вы товарищи кушайте это гумно половником)) Ставь ось от мелкомягких и не парься, один раз поставил и забыл, сейчас сеть с Win7 регулярно обновляеся и проблем нет, носимся как курица с яйцом только вокруг линуховых машин (Debian), там то одно отвалится, то другое не работает, одно поднимешь, другое упадет и так все время))


     
     
  • 3.50, Noname, 10:19, 26/04/2016 [^] [ответить] [смотреть все]  
  • +/
    Да уж, закрыли дырку в безопасности и попутно окончательно поломали самбу, молодцы что тут скажешь. Так и придется наверное ставить Windows, если в ближайшее время не поправят.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList