The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

08.03.2016 21:01  Обновление Samba 4.3.6, 4.2.9 и 4.1.23 с устранением опасных уязвимостей

Доступны корректирующие выпуски Samba 4.3.6, 4.2.9 и 4.1.23, в которых устранены две уязвимости:

  • CVE-2015-7560 - аутентифицированный клиент может обойти ограничения ACL. Использовав UNIX-расширения протокола SMB1 пользователь может создать символическую ссылку на файл или директорию, доступ к которым ограничен. Затем при помощи SMB1 без UNIX-расширений пользователь может перезаписать содержимое данного файла или директории, обратившись к ним через созданную ссылку. Проблема проявляется во всех выпусках, начиная с 3.2.0. В качестве обходных путей защиты можно запретить использование UNIX-расширений ("unix extensions = no" в секции "[global]") или ограничить протокол версией SMB2 ("server min protocol = SMB2" в секции "[global]").
  • CVE-2016-0771 - уязвимость во встроенном DNS-сервере, поставляемом в составе Samba 4.x. Проблема вызвана ошибкой обработки DNS-записей TXT и позволяет атакующему изменить содержимое DNS-записей или инициировать отказ в обслуживании. Существует вероятность утечки содержимого памяти сервера в тексте ответов на специально оформленные запросы DNS TXT. Опасность проблемы снижает использование по умолчанию настроек ("allow dns updates = secure only"), допускающих приём записей только от аутентифицированных клиентов.


  1. Главная ссылка к новости (http://permalink.gmane.org/gma...)
  2. OpenNews: Релиз Samba 4.3.0 с поддержкой SMB-расширений, появившихся в Windows 10
  3. OpenNews: Релиз Samba 4.2.0. Прекращение поддержки Samba 3
  4. OpenNews: Критическая удалённая уязвимость в Samba, предоставляющая root-доступ к серверу
  5. OpenNews: Обновление Samba 4.1.16 и 4.0.24 с устранением уязвимости
  6. OpenNews: В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в реализации NetBIOS
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, user455 (?), 21:18, 08/03/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Я уже давно очень далек от мира windows, застал времена только samba 3, когда 4ая была в глубокой альфе. Подскажите пожалуйста те, кто имеет опыт использования 4 самбы, является ли она сейчас полноценной заменой виндового АД контроллера ? Есть ли какие-то серьезные подводные камни использования самбы кроме отсутствия техподдержки?

    Спасибо.

     
     
  • 2.5, ddr (?), 22:14, 08/03/2016 [^] [ответить]    [к модератору]
  • +/
    > Я уже давно очень далек от мира windows, застал времена только samba
    > 3, когда 4ая была в глубокой альфе. Подскажите пожалуйста те, кто
    > имеет опыт использования 4 самбы, является ли она сейчас полноценной заменой
    > виндового АД контроллера ? Есть ли какие-то серьезные подводные камни использования
    > самбы кроме отсутствия техподдержки?
    > Спасибо.

    Полноценной заменой не является, но может выполнять часть функций. Подводных камней нет.

     
     
  • 3.12, _ (??), 01:45, 09/03/2016 [^] [ответить]    [к модератору]
  • +2 +/
    >Полноценной заменой не является, но может выполнять часть функций.

    Математически точное высказывание, браво!
    >Подводных камней нет.

    Профессор студентке на экзамене по физиологии: " ... ну а то что 30 см - это вам сииильно повезло!"

     
  • 2.6, EHLO (?), 22:23, 08/03/2016 [^] [ответить]    [к модератору]
  • +/
    >Есть ли какие-то серьезные подводные камни использования самбы кроме отсутствия техподдержки?

    Это предложение подразумевает, что у АД есть техподдержка, а у Самбы ее нет.

    >Я уже давно очень далек от мира windows

    Ты не представляешь, насколько ты от него далек.

     
     
  • 3.14, ананим.orig (?), 07:18, 09/03/2016 [^] [ответить]    [к модератору]
  • +2 +/
    > … у АД есть техподдержка …

    это шутка юмора такая?
    тогда так — техподдержка естъ.

     
  • 3.15, ананим.orig (?), 07:22, 09/03/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Кстати
    >  … а у Самбы ее нет.

    не угадал — https://www.samba.org/samba/support/globalsupport.html

     
  • 2.9, MaleDog (?), 22:55, 08/03/2016 [^] [ответить]     [к модератору]  
  • –4 +/
    Для небольшой сети вполне Полгода назад поставил Только по моему скромному мне... весь текст скрыт [показать]
     
     
  • 3.10, й (?), 23:42, 08/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > насколько я знаю доверие между доменами так и не работает)

    в 2.x работало

     
     
  • 4.11, й (?), 23:45, 08/03/2016 [^] [ответить]    [к модератору]  
  • +/
    и я очень сомневаюсь, что в современных версиях это оторвали. ссылки на багрепорты можно?
     
  • 3.13, ананим.orig (?), 07:13, 09/03/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    > По производительности (мои личные измерения) файловый сервер(дефолтные настройки) уступает микрософтовскому вдвое - после тюнинга процентов на 5-10

    Закрадывается мысль, что дяденька — провокатор. (как минимум)

    зыж
    Использую (в продакшене) на постоянной основе. В территориально-распределенной среде. Ну как минимум(!!!) не медленнее.
    Более того, с 4-ой в составе идёт в довесок файловый сервер от 3-и. Который ну уж точно шустрее.
    В сочетании (например с потоковой xfs или с экстентной ext4) рвёт ntfs как тузик грелку.
    Инфраструктурные же возможности (днс там, групповые политики, этк) на производительность не влияют. Только на функциональность и совместимость.
    Чтобы не быть голословным —https://wiki.samba.org/index.php/Linux_Performance#Making_writes_efficient_on_
    > Лучше бы сосредоточили усилия на безопасности, обеспечении масштабируемости

    Безопасность ограничена спецификацией протокола, а массшабируемость… ну оцените кластерное решение — https://wiki.samba.org/index.php/CTDB_Setup
    В вантузе такого нет.

     
     
  • 4.24, snmp agent (?), 13:17, 09/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > Более того, с 4-ой в составе идёт в довесок файловый сервер от 3-и.

    В довесок? Он же там по умолчанию.

     
     
  • 5.25, ананим.orig (?), 13:23, 09/03/2016 [^] [ответить]    [к модератору]  
  • +/
    Ну,.. хороший такой довесок. :D
     
  • 3.31, Michael Shigorin (ok), 23:06, 09/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > Лучше бы сосредоточили усилия на безопасности, обеспечении масштабируемости

    Поищите про кластерную самбу.

    > По производительности (мои личные измерения) файловый сервер(дефолтные настройки)
    > уступает микрософтовскому вдвое - после тюнинга процентов на 5-10.

    Надеюсь, понимаете, что без методики тестирования сойдёт максимум за надпись на сарае (мой опыт, кстати, ровно противоположен).

     
  • 2.30, Michael Shigorin (ok), 23:03, 09/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > Подскажите пожалуйста те, кто имеет опыт использования 4 самбы,
    > является ли она сейчас полноценной заменой виндового АД контроллера ?

    См., например,
    http://www.altlinux.org/SambaAD
    http://lists.altlinux.org/mailman/listinfo/samba

     
  • 1.7, Аноним (-), 22:27, 08/03/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А в v3.6 уязвимость CVE-2015-7560 исправлять собираются?
     
     
  • 2.17, Аноним (-), 10:06, 09/03/2016 [^] [ответить]    [к модератору]  
  • +/
    поскольку ответа мы с тобой не дождёмся, следуй совету в конце абзаца
     
  • 2.20, Andrew (??), 11:31, 09/03/2016 [^] [ответить]    [к модератору]  
  • +/
    3.6 не поддерживается, и уже давно. И вполне обоснованно- как файловый сервер 4.3 сильно ушла вперед, по стабильности не уступает 3.6, а функции ADC опциональны, и их нужно явно включать (провижинить новый или джоинить существующий домен).
     
     
  • 3.23, Аноним (-), 12:59, 09/03/2016 [^] [ответить]    [к модератору]  
  • +/
    а можно сторонние лдап-сервер и бинд присобачить, чтобы получить аналог третьесамбы без ад-загонов?
     
     
  • 4.26, ананим.orig (?), 13:40, 09/03/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Да. https://www.opennet.ru/opennews/art.shtml?num=41788
    > ... вопреки расхожим заблуждениям, не ограничиваются функциями контроллера домена Active Directory. Новые возможности Samba 4 лишь дополняют ранее созданную в Samba 3 функциональность, но не заменяют её. Samba 4 обеспечивает всю функциональность Samba 3, в том числе реализацию файлового сервера и классических доменов NT4. Таким образом обновление контроллера домена NT4 с Samba 3.x на Samba 4.x мало чем отличается от обновления с Samba 3.5.x на ветку 3.6.x и не требует перехода на Active Directory.

    и пользователей можно держать в openldap.
    В состав входит smbd от трёшки.

     
  • 1.16, CHERTS (??), 09:58, 09/03/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –4 +/
    Мигрировали в январе с Samba 4 x на Win2012R2 40 ПК - сразу уменьшилась головн... весь текст скрыт [показать]
     
     
  • 2.18, Аноним (-), 10:07, 09/03/2016 [^] [ответить]     [к модератору]  
  • +4 +/
    скажи начальнику, что этот гетзефакс тоже не очень, пусть другой выдаст... весь текст скрыт [показать]
     
     
  • 3.19, CHERTS (??), 10:31, 09/03/2016 [^] [ответить]    [к модератору]  
  • –3 +/
    Вы это о чем? По-русски можете написать?
     
  • 2.21, Andrew (??), 11:39, 09/03/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > Мне нравится Samba, но не готова ветка 4.x для полноценной работы в качестве DC

    Сильно зависит от того, что вам от нее нужно. Для огромного количества небольших сетей вполне себе полноценная замена Windows.

    > многие вещи нельзя сделать

    Можете, интереса ради, перечислить, какого именно функционала Вам лично не хватает? Вот мне, например, не хватает только поддержки Certification Services. Предполагаю, что кому-то может не хватать полноценных трастов и совместимой с Microsoft репликации sysvol. Что еще?

     
  • 2.22, imak (??), 11:55, 09/03/2016 [^] [ответить]    [к модератору]  
  • +6 +/
    Мигрировали год назад с Win2003 на Samba4 (~50 ПК) - "сразу уменьшилась головная боль в несколько раз." :-)
    Из плюсов:
    1) Работает стабильно. По крайней мере у меня нареканий нет.
    2) Функционала для наших задач хватает. И стоимость лицензий 0 :-)
    3) Отличное комьюнити при решении проблем. У Microsoft реальной помощи при решении проблем не разу не удалось получить. Маленькие мы, не интересные мы им, хоть и лицензия была.
    4) Простота выполнения бэкапов - при смерти железа разворачивается на другом сервере в течении 40 мин. То же время у меня уходило на перенос ролей в MS AD.
    6) Возможность разобраться в работе самостоятельно. Именно разобраться, а не получить набор рецептов, что куда жмакнуть, дабы что-то заработало.

    Мне кажется достаточно аргументов для использования в небольшой фирме.  :-)

     
  • 2.27, Forth (ok), 15:28, 09/03/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > Мне нравится Samba, но не готова ветка 4.x для полноценной работы в качестве DC, все таки это эмуляция домена Win2008, а не полноценный домен, многие вещи нельзя сделать, многие работают не так как в Win2008Srv

    Давайте, пожалуйста, конкретику, по существу ничего не написали.
    > реальных специалистов с опытом работы с Samba 4.x ооочень мало и они стоят гораздо дороже

    Какой особенный опыт там нужен? После установки домена через samba-tool, что там дальше такого особенного надо делать? Все же через RSAT с рабочей станции на Windows делается, аналогично DC на Windows Server.

    Я обслуживаю две сети в разных организациях, в обеих Samba 4, ожидал что будут проблемы какие-то регулярные, но нет, все работает как часы.

     
     
  • 3.28, CHERTS (??), 20:14, 09/03/2016 [^] [ответить]     [к модератору]  
  • +/
    Давайте 1 Максимальный размер базы данных Samba ограничен 4 Гб, см ограничени... весь текст скрыт [показать]
     
     
  • 4.29, Forth (ok), 21:01, 09/03/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    >>>Давайте, пожалуйста, конкретику, по существу ничего не написали
    > Давайте:
    > 1. Максимальный размер базы данных Samba ограничен 4 Гб, см. ограничение tdb,
    > то есть для крупных организаций, c сотнями тысяч объектов в каталоге
    > AD, переход на Samba может оказаться невозможным.

    .......
    > 11. Можно продолжать и далее, но зачем?

    Вы издеваетесь?
    Вы зачем-то перечислили известные ограничения самбы 4, которые перед началом внедрения стоит как минимум прочесть и сделать выбор.
    Уточню, если непонятно было, Вам-то это как помешало в организации на _40_ ПК? Конкретно в том случае? :)
    У Вас на 40 ПК будет объектов в AD, на 4гб каталога?
    У Вас есть какие-то домены с которыми надо строить отношения доверия? Если да, то почему была установка samba 4 с последующим переходом на W2012? Не читали samba 4 limitations?
    Вам нужна поддержка многодоменной структуры?
    Сколько Вам нужно контроллеров домена в организации на 40 ПК, чтобы Вас серьезно волновали вопросы репликации?

     
     
  • 5.33, CHERTS (??), 07:55, 11/03/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Это не сильно известные ограничения Samba4, на wiki.samba.org эти данные разбросаны на многих страницах и новичку их найти довольно сложно.

    Я же не говорю, что Samba4 плохая и не нужно её использовать. Samba4 очень достойный продукт для замены DC от MS, но в некоторых случаях использовать Samba4 выйдет себе дороже, в моем случае более выгодно было перейти на терминальные решения от MS и использовать лицензионную WinSrv2012R2 (лиц.для образов учреждений).
    Если сильно интересно почему мы перешли на MS и какая в этом для нас была выгода, то могу рассказать. Если вкраце, то в той организации где был переход за 7-8 лет использования Samba3 и Samba4 на файловом сервере из-за недосмотра предыдущих админов образовался огромный бардак с правами, в сети образовалось 2 DC на Samba3 и Samba4, неправильно был спроектирован домен на Samba4 и чтобы решить эту задачу без остановки работы компании было принято решение перенести файловую помойку на WinSrv2012R2 попутно наведя в ней порядок, нормально выдать права на основе групп, нормально сделать перемещаемые профили, внедрить терминальное решение и многое другое. Почему терминальное решение, все просто, купить Б/У сервер HP DL160G6 с 96 Gb ОЗУ + терминальные лицензии банально дешевле (300 тыс.руб.), чем обновлять парк из 40 ПК (30 т.руб. x 40 = 1,2 млн.руб.).

     
     
  • 6.35, Andrew (??), 11:58, 11/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > Я же не говорю, что Samba4 плохая и не нужно её использовать.

    Вообще-то именно это Вы и сказали несколько постов назад. По-крайней мере мне трудно по-другому интерпретировать вот эту Вашу фразу:

    >> Мигрировали в январе с Samba 4.x на Win2012R2 (40 ПК) - сразу уменьшилась головная боль в несколько раз.

    По-итогу, насколько я могу судить, единственной серьезной причиной перехода на Windows Server, в вашем случае, было то, что сервер Вы и так уже купили. Причем купили не потому, что Вам не хватало каких-то возможностей Samba4 как ADC, а потому, что Вам нужен был терминальный сервер.

     
     
  • 7.36, CHERTS (??), 21:37, 11/03/2016 [^] [ответить]    [к модератору]  
  • +/
    >>По-итогу, насколько я могу судить, единственной серьезной причиной перехода на Windows Server

    Нет, переход был связан с сокращением долгосрочных расходов на поддержку парка ПК и серверов. Я же написал, что дело в эконом. выгоде по железу и ЗП персоналу. Если Вы сможете убедить руководство вбухать лишние 800 т.р. в обновление парка ПК ради того, чтобы остаться на опенсорсном продукте, то я могу позавидовать доходам Вашей компании.

    И еще раз повторюсь - Samba достойный продукт, но... всегда есть выбор.

     
     
  • 8.37, Andrew (??), 11:14, 12/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > Нет, переход был связан с сокращением долгосрочных расходов на поддержку парка ПК и серверов. Я же написал, что дело в эконом. выгоде по железу и ЗП персоналу.

    Те же яйца, только в профиль. К Samba4 и ее возможностям Ваше решение имеет весьма косвенное отношение. Вам оказалось экономически выгодно перейти на использование терминального решения, и Вы купили WinServer именно для использования в качестве терминального сервера. Перевод ADC с Samba4 на свежекупленный WinServer (шаг весьма логичный в конкретно Вашей ситуации) был лишь следствием, и вряд ли мог "сразу уменьшить головную боль в несколько раз", в чем Вы настойчиво пытаетесь всех нас здесь убедить...

     
     
  • 9.38, EHLO (?), 11:40, 12/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > Перевод ADC с Samba4 на свежекупленный WinServer (шаг
    > весьма логичный в конкретно Вашей ситуации)

    Не логичный. Выбор Майкрософта при наличии любой альтернативы -- признак некомпетентности. Тем более когда альтернатива СПО.

     
  • 4.32, Michael Shigorin (ok), 23:13, 09/03/2016 [^] [ответить]    [к модератору]  
  • +/
    > 1. Максимальный размер базы данных Samba ограничен 4 Гб, см. ограничение tdb,
    > то есть для крупных организаций, c сотнями тысяч объектов в каталоге
    > AD, переход на Samba может оказаться невозможным.

    Организации с миллионами объектов вляпываются в необходимость ручной поддержки некрософтом по совершенно специальному прейскуранту.  Просто чтоб Вы понимали цену этому предположению.

    > - Отсутствует функция SID Filtering, отказ от нее существенно снижает уровень
    > безопасности при организации доверительных отношений;

    Кстати, у нас есть некоторые проработки на тему фильтров при синхронизации, можно поднять, если кому ещё понадобятся.

    > 8. Отсутствие поддержки MIT Kerberos;

    В работе.  Вас как затронуло, кстати?

    > 11. Можно продолжать и далее, но зачем?

    Ну почему -- мне, например, интересно. :)  В той части, что по существу.

     
     
  • 5.34, CHERTS (??), 08:11, 11/03/2016 [^] [ответить]    [к модератору]  
  • +/
    >>Организации с миллионами объектов вляпываются в необходимость ручной поддержки некрософтом по совершенно специальному прейскуранту.  Просто чтоб Вы понимали цену этому предположению.

    Я это прекрасно понимаю, работал в организации где в свое время мы мигрировали с Novell NetWare 6.5 на WinSrv2008 (>500 офисов по стране, >6500 ПК)

    >>В работе.  Вас как затронуло, кстати?

    Нас не затронуло, но одного знакомого у которого были какие-то самописные серверные костыли под MIT реализацию это тормознуло, но это частный случай и довольно редкий.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor