The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

15.07.2017 22:54  Критическая уязвимость в Heimdal Kerberos, затрагивающая Samba 4

В пакете Heimdal Kerberos и реализации протокола Kerberos, поставляемой в Samba, выявлена уязвимость (CVE-2017-11103), позволяющая атакующему притвориться заслуживающим доверия сервисом через организацию MITM-атаки. Уязвимость присвоен критический уровень опасности. В контексте Samba уязвимость позволяет через MITM-атаку имитировать для клиента заслуживающие доверия файловые серверы SMB/CIFS, серверы печати или серверы авторизации.

Проблема вызвана некорректной организацией проверки имени сервиса KDC-REP (Key Distribution Center) при аутентификации доступа клиента к сервису через систему билетов (tickets). Суть проблемы в том, что извлечение имени сервиса KDC-REP производилось из незашифрованного и неаутентифицированнго билета (ticket), в то время как спецификация Kerberos 5 требует извлекать имя сервиса только из зашифрованного и аутентифицированного ответа ('enc_part'). Извлечение имени сервиса из незашифрованного и неаутентифицированного пакета позволяет атакующему, имеющему возможность вклиниться в транзитный трафик, выдать себя за заслуживающий доверия сервис.

Проблема присутствует с первых версий Heimdal Kerberos, выпущенных в 1996 году, и устранена в Heimdal Kerberos 7.4.0, а также в выпусках Samba 4.6.6, 4.5.12, 4.4.15 (в Samba 4 встроен Heimdal). Уязвимость также затрагивает системы Microsoft на базе Active Directory, например, Windows Server 2008, в которых повторено некорректное поведение протокола. MIT Kerberos проблеме не подвержен, как не подвержены проблеме и исполняемые файлы Samba, собранные с MIT Kerberos. Уязвимость уже устранена во FreeBSD, Debian, Fedora и Ubuntu. Дистрибутивы SUSE и RHEL проблеме не подвержены (неофициальный heimdal из EPEL уязвим), так как используют MIT Kerberos, а не Heimdal Kerberos.

  1. Главная ссылка к новости (https://www.us-cert.gov/ncas/c...)
  2. OpenNews: Из состава OpenBSD исключён Kerberos
  3. OpenNews: Создан консорциум по развитию системы аутентификации Kerberos
  4. OpenNews: Уязвимость в Samba 4, которая может привести к удалённому выполнению кода
  5. OpenNews: Раскрыты детали уязвимости Badlock в Samba
  6. OpenNews: Уязвимость в Samba, позволяющая выполнить код на сервере
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: kerberos, samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 00:00, 16/07/2017 [ответить] [смотреть все]
  • –5 +/
    Этот SMB CIFS уже давным-давно следовало закoпать и забeтонировать, чтоб не выбр... весь текст скрыт [показать]
     
     
  • 2.3, яя, 00:30, 16/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Альтернативы?
     
     
  • 3.4, Скотыняка, 00:35, 16/07/2017 [^] [ответить] [смотреть все]  
  • –6 +/
    NFS либо распределенные сетевые FS
     
     
  • 4.5, Анан, 00:56, 16/07/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    То есть, либо не работает, либо требует 100500 ресурсов Кто-то, либо траллирует... весь текст скрыт [показать]
     
     
  • 5.11, Скотыняка, 02:11, 16/07/2017 [^] [ответить] [смотреть все]  
  • +7 +/
    Га-га-га
    Это NFS-то не работает?
     
     
  • 6.19, Аноним, 07:46, 16/07/2017 [^] [ответить] [смотреть все]  
  • +/
    простите - а давно pNFS поддерживается везде А в остальном маркиза - вы упирает... весь текст скрыт [показать]
     
     
  • 7.30, нех, 09:46, 16/07/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Чегой-то ты анонимом стал подписываться? Думал, не узнает никто?
     
  • 7.34, Аноним, 11:37, 16/07/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    А давно smb стало аналогом pnfs?
     
  • 6.61, Admino, 02:42, 18/07/2017 [^] [ответить] [смотреть все]  
  • +/
    > NFS

    Это та штука, которая подвешивает клиента напрочь при потере связи с сервером?

     
     
  • 7.62, iZEN, 11:01, 18/07/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Это на линуксах она так работает? Чините консерваторию.
     
     
  • 8.63, ыы, 21:16, 18/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    и на чпуксах тоже подвешивает. крайне нестабильная и ненадежная штука.
     
  • 4.7, Аноним, 01:17, 16/07/2017 [^] [ответить] [смотреть все]  
  • +7 +/
    > NFS

    Шило на мыло. :(

     
  • 4.28, пох, 09:39, 16/07/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    о, да, йа-йа - вместо ужасной самбы в которой, ну надо же, можно подменить серве... весь текст скрыт [показать]
     
  • 4.51, Аноним, 09:46, 17/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    MS не пишет клиент под NFS, а опенсорс сообщество так и не написало клиент для в... весь текст скрыт [показать]
     
     
  • 5.57, _, 18:18, 17/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Всё как обычно! Ванузятнеги не знают свой зонт :)
     
  • 5.58, Stax, 18:36, 17/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Почему? Вполне себе пишет. Временами исправляет баги и увеличивает производительность (в 7-ке лучше, чем в XP+SFU, в 8-ке еще лучше). Но начиная с 8-ки доступен исключительно в enterprise-версии (может еще в какой-то близкой к enterprise), в home/pro - фиг с маслом, а не NFS-клиент.

    NFS нужен, к примеру, если требуется хорошая производительность - 1 гбит вообще без твиков (самба не всегда), 10 гигабит с минимальными твиками. Есть и другие причины использовать. Но в целом да, нужен он не очень часто по той причине, что если нагрузка маленькая, то интероперабельность хуже, чем у самбы, а если большая - NFS не получается нормально кластеризовать, pNFS существует где-то в вакууме или за большие деньги, или полу-работающий и при этом решает в первую очередь проблемы производительности, а не отказоустойчивости.

     
  • 3.18, Ph0zzy, 07:35, 16/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    webdav?
     
     
  • 4.47, Ivan_83, 20:09, 16/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Ни клиентов ни серверов для него нормальных нет.
     
     
  • 5.52, Аноним, 09:46, 17/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Пробовали Работает очень не стабильно в винде ... весь текст скрыт [показать]
     
  • 3.64, KBAKEP, 22:19, 18/07/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    AFS?
     
  • 2.33, Аноним, 10:58, 16/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Причем тут smb/cifs? В маздае та же уязвимость.
     
  • 2.39, 123, 16:49, 16/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Дырка в kerberos И если у тебя самба KDC смотрит наружу - ты сам себе злобный... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, ананим.orig, 12:19, 17/07/2017 [^] [ответить] [смотреть все]  
  • +/
    > Ну и винды уже с 2008 сервера есть намного более защищенные протоколы

    И тут должен идти "например".
    Типа "тикет можно получить так ..."

     
  • 1.6, Аноним, 01:08, 16/07/2017 [ответить] [смотреть все]  
  • +2 +/
    Надо еще в IPX стеке уязвимости поискать А то мало ли может быть NetWare кто-то... весь текст скрыт [показать]
     
     
  • 2.8, Аноним, 01:18, 16/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Конечно юзают, но не афишируют во избежание всяких кулхацкеров ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Аноним, 09:32, 16/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    IPX у внешние атаки кулхацкеров не страшны, ибо через общественные сети он не ра... весь текст скрыт [показать]
     
  • 1.12, Аноним, 02:37, 16/07/2017 [ответить] [смотреть все]  
  • +1 +/
    Получается мелкософт стырили код у Heimdal Kerberos?
     
     
  • 2.21, zanswer CCNA RS and S, 07:53, 16/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –5 +/
    В новости написано, что Microsoft повторила поведение работы протокола, то есть ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Аноним, 09:34, 16/07/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Референсная реализация — это та, в которой нажимают Ctrl+C?
     
     
  • 4.55, ананим.orig, 12:21, 17/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Не-не!
    Главное — там нажимают Ctrl-V.
     
  • 4.60, _, 23:38, 17/07/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    >Референсная реализация — это та, в которой нажимают Ctrl+C?

    У этих диких людей жмут Ctrl+Ins :)

     
  • 3.26, Аноним, 09:34, 16/07/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Знаем, как они "референсно" у бздунов стек TCP/IP использовали ;)
     
  • 2.32, Hellraiser, 10:38, 16/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    +1
    мелкософт спалился на одинаковой уязвимости
     
  • 1.13, Аноним, 03:07, 16/07/2017 [ответить] [смотреть все]  
  • –2 +/
    Ещё вчера обновы для Ubuntu пришли, а вообще Samba это зло, но увы, это зависимо... весь текст скрыт [показать]
     
     
  • 2.20, Аноним, 07:52, 16/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Чего Зачем IPTV самба вообще Это для шаринга видео с других устройств, а не IP... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, Аноним, 09:38, 16/07/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Чего человека минусуете Нынешние линуксоиды -убунтоиды не умеют проги из исход... весь текст скрыт [показать]
     
     
  • 4.29, пох, 09:41, 16/07/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    ждут ебилдов ... весь текст скрыт [показать]
     
     
  • 5.31, Ебилд Гентович, 10:19, 16/07/2017 [^] [ответить] [смотреть все]  
  • +/
    А что нам ждать, мы давно тут Флаги правильные давайте и будет вам счастье Мы ... весь текст скрыт [показать]
     
  • 4.36, Аноним, 13:42, 16/07/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Нынешние линуксоиды не умеют даже темы с обоями кастомизировать, для смены ВМ,... весь текст скрыт [показать]
     
  • 4.37, лютый жабист__, 13:49, 16/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Чем мешает клиент самбы А вот всю жизнь потом руками пересобирать пакет - это к... весь текст скрыт [показать]
     
     
  • 5.38, Аноним, 15:51, 16/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Своим присутствием в системе Я самбой не пользовался никогда и пользоваться не ... весь текст скрыт [показать]
     
  • 2.22, Аноним, 07:54, 16/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну так соберите VLC без Samba и смотрите сколько влезет Выросло поколение 8230... весь текст скрыт [показать] [показать ветку]
     
     ....нить скрыта, показать (8)

  • 1.35, ананим.orig, 13:12, 16/07/2017 [ответить] [смотреть все]  
  • –3 +/
    Ну там в сборках самбы просто нет домена АД вообще и цербера в частности, так чт... весь текст скрыт [показать]
     
     
  • 2.43, ананим.orig, 19:31, 16/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Ззыж
    Да, цербер в макоси тоже на хеймдале.
    Сговор рептилоидов? :)
     
     
  • 3.45, 123, 19:43, 16/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Сколько лет на маке нормально его завести не удавалось С каждым апдейтом отлета... весь текст скрыт [показать]
     
     
  • 4.48, ананим.orig, 20:26, 16/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Сервер?
    Вроде там всё норм.
     
     
  • 5.49, Аноним, 07:33, 17/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    У вас там ад на макоси Да это просто охренительно, обязательно почитаю на эту т... весь текст скрыт [показать]
     
     
  • 6.50, Аноним, 09:34, 17/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Она сама по себе ­— ад.
     
     
  • 7.59, Led, 22:47, 17/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    > Она сама по себе ­— ад.

    Не путайте Ад с Содомом.

     
  • 1.41, Аноним, 18:56, 16/07/2017 [ответить] [смотреть все]  
  • +2 +/
    Кто хочет посмотреть подробнее предметную область samba, Heimdal Kerberos, MIT K... весь текст скрыт [показать]
     
     
  • 2.44, ананим.orig, 19:34, 16/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Спасибо, интересно.
    Не зря значит ещё тут коменты просматриваю.
     
  • 2.46, 123, 19:56, 16/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Ну толстый сильно привирает - SMB была разработана как раз таки майками и ibm... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.56, Аноним, 17:23, 17/07/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    +15 за вброс
    гугли "nbserver 1.5"
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList