The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Samba 4.8.4, 4.7.9 и 4.6.16 с устранением уязвимостей

14.08.2018 20:22

Подготовлены корректирующие выпуски пакета Samba 4.8.4, 4.7.9 и 4.6.16, в которых устранено несколько уязвимостей:

  • CVE-2018-1139 - позволяет применить для аутентификации устаревший алгоритм NTLMv1, даже если он отключен в настройках;
  • CVE-2018-1140 - отсутствие проверки на нулевой указатель может привести к краху Samba AD DC при отправке определённым образом оформленных запросов через DNS или LDAP;
  • CVE-2018-10858 - при обращении клиента к серверу, подконтрольному злоумышленнику, возможно повреждение областей памяти libsmbclient;
  • CVE-2018-10918 - отсутствие проверки на нулевой указатель может привести к краху Samba AD DC через отправку аутентифицированного запроса через DRSUAPI RPC;
  • CVE-2018-10919 - отсутствие проверки прав доступа позволяет выяснить значения конфиденциальных атрибутов через формирование поискового запроса в LDAP.


  1. Главная ссылка к новости (https://www.mail-archive.com/s...)
  2. OpenNews: Выпуск Samba 4.8.0
  3. OpenNews: Критическая уязвимость в Samba, позволяющая поменять пароль любого пользователя
  4. OpenNews: Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением уязвимостей
  5. OpenNews: Обновление Samba 4.6.8, 4.5.14 и 4.4.16 с устранением уязвимостей
  6. OpenNews: Критическая уязвимость в Heimdal Kerberos, затрагивающая Samba 4
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, denmatv94 (?), 20:24, 14/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Итак, приготовились, и ждем в Debian!
     
     
  • 2.2, Аноним (2), 20:27, 14/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Уже несколько часов как пришло.
     
     
  • 3.21, Sergey (??), 15:34, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А в каком репозитории доступна версия 4.8.4 ?

    А то я туплю что то и старше 4.8.2 обновиться не получается.
    Добавлены репозитории для Debian 9 stable, testing, stableupdates, backports:


    deb http://security.debian.org/debian-security stretch/updates main contrib
    deb-src http://security.debian.org/debian-security stretch/updates main contrib


    deb http://deb.debian.org/debian/ stretch-updates main contrib
    deb-src http://deb.debian.org/debian/ stretch-updates main contrib

    deb http://security.debian.org/ stretch/updates main
    deb-src http://security.debian.org/ stretch/updates main

    deb http://mirror.yandex.ru/debian stretch main
    deb-src http://mirror.yandex.ru/debian stretch main

    deb http://mirror.yandex.ru/debian stretch-updates main
    deb-src http://mirror.yandex.ru/debian stretch-updates main

    deb http://mirror.yandex.ru/debian/ stretch-proposed-updates main non-free contrib
    deb-src http://mirror.yandex.ru/debian/ stretch-proposed-updates main non-free contrib


    deb http://ftp.ru.debian.org/debian/ testing main non-free contrib
    deb-src http://ftp.ru.debian.org/debian/ testing main non-free contrib


    deb http://ftp.ru.debian.org/debian/ unstable main non-free contrib
    deb-src http://ftp.ru.debian.org/debian/ unstable main non-free contrib

    deb     http://httpredir.debian.org/debian stretch-updates main
    deb-src http://httpredir.debian.org/debian stretch-updates main

     

  • 1.3, Аноним (3), 20:45, 14/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сетку видет виндовую теперь?
     
     
  • 2.4, анан (?), 20:55, 14/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    нет
     
     
  • 3.7, Rubanok (?), 06:54, 15/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    как теперь жить?
     
  • 2.5, анон (?), 21:44, 14/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Этим кто-то пользуется?
     
     
  • 3.6, maximnik0 (?), 03:55, 15/08/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >Этим кто-то пользуется?

    Пользуются и достаточно много народа.

    C NFS4  все грустно,реально сталкивался с ситуацией когда сервер скидывал протокол соединения на 3  а то и 2 версию, а там с скоростью дело швах, и кричащие спецы NFS наше все куда то сдулись и исчезли.Диагностировать ошибки в протоколе сложно ,нужно ставить спецсофт который еще задолбался я собирать как в репозитарий основных дистрибутивов не входит , или снифер с падчами .Очень чувствителен к прошивкам маршрутизаторов (в разных версиях разные задержки обработки), такое ощущение что на этот протокол забили и не кто уже не тестирует и не пользуеться :-(

     
     
  • 4.14, Stax (ok), 14:29, 15/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы что-то гоните. NFS никуда не может скидывать протокол (максимум в рамках подверсии, типа 4.1 и 4.0) - если 4, то это 4, а если 3, то это 3. Это разные протоколы, 3 и 4 реализованы в достаточной степени *независимо* и  обрабатываются разными потоками в ядре: на какой подключаемся, такой и работает. То, что через rpc разруливается версия, никак не меняет того факта, что реализация за ней и обработка - разделены. Во всяком случае, в линуксе. На солярке несколько иначе.

    Про "швах со скоростью" это вы тоже маленько гоните. Ну в NFSv2 может и да, а NFSv3, если все правильно настроить (как минимум tcp режим и правильные буферы) скорость отличная. Иногда даже лучше, чем на 4. Хотя на 4-ке немного проще. Вообще, если есть проблемы со скоростью - ищите их на клиенте. А использовать старые версии не стоит, хотя бы потому, что там керберос был через задницу (а без него нет ни авторизации, ни аутентификации. Иллюзия аутентификции только разве что).

    > Очень чувствителен к прошивкам маршрутизаторов (в разных версиях разные задержки обработки),

    Эээ ЧТО? Ну давайте расскажите, каким образом одно tcp-соединение через 2049 порт (раз уж говорим про актуальную 4-ую версию) может быть "чувствительно к прошивкам" или задержкам из-за маршрутизации и что у вас за маршутизатор такой, который остальной трафик пропускает нормально, а с NFS лажает. Только не надо про NFSv3, он не предназначен для работы через интернет и машрутизаторы и требует хелперов - это возможно, но смысла никакого нет, когда NFSv4 работает без каких-либо хаков.

     
     
  • 5.15, maximnik0 (?), 21:55, 15/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы что-то гоните. NFS никуда не может скидывать протокол

    Ну сам же наблюдал такую вещь,правда клиенты монтировались "жестко" ,может проблемы были в ядре ,х.з ,при хороших нагрузках возникали большие таймауты и смотришь пересоединение с пониженой версией .

    >Ну давайте расскажите, каким образом одно tcp-соединение через 2049 порт

    D-Link , как выяснилось не очень любит мелкие фрагментированные пакеты,любит их дефрагментировать ....

     
     
  • 6.18, Stax (ok), 11:42, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну сам же наблюдал такую вещь,правда клиенты монтировались "жестко" ,может проблемы были в ядре ,х.з ,при хороших нагрузках возникали большие таймауты и смотришь пересоединение с пониженой версией .

    o.O Насколько я знаю, подобной логики там точно нигде нет. Чтобы при пересоединении пробовали другую версию. Вообще, если умеете 4 - залочьте ее и все.

    > D-Link , как выяснилось не очень любит мелкие фрагментированные пакеты,любит их дефрагментировать ....

    Предположим. Но тогда поясните, каким образом фрагментация или дефрагментация IP-пакетов влияет (и вообще заметна) с точки зрения TCP, по которому ходит NFS?

     
     
  • 7.19, maximnik0 (?), 02:56, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >.O Насколько я знаю, подобной логики там точно нигде нет.

    Вот и кому верить? Журнал Системный администратор ,номер не помню, было описание 4 версии протокола, написано что полностью совместимо с 2 и 3 версией протокола.В 4.1 веденно пару расширений и возможность для безопасности заблокировать на 4 версии протокола.Т.к сквозное шифрование было принято только в 4 версии.
    С дефрагментацией на маршрутизаторе ощутимо падала скорость на клиентах .

     
     
  • 8.20, Stax (ok), 11:30, 17/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Где оно совместимо, когда 1 stateful, в отличие от statless 2 и 3 версии 2 Не... текст свёрнут, показать
     
  • 2.17, Аноним (17), 11:28, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вчера на минт обновление пришло, сеть видит.
     
  • 2.22, Sergey (??), 10:57, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Отвечу сам себе, в вышеперечисленных репозиториях самба 4.8.4 уже есть.
     

  • 1.8, ryoken (ok), 07:17, 15/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите простому ДебСид-юзеру. Возможно ли хотя бы в теории заменить AD DS +SMB на что-то другое, к чему подцеплять (простите) вендовые же телеги?
     
     
  • 2.9, anon186 (?), 07:48, 15/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    GINA.  Бесплатного и не протухшего ничего нет.  Вот пример https://www.rohos.com/gina-authentication-module.htm
     
  • 2.10, Аноним (-), 08:46, 15/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А самба четыре чем тебе не нравится?
     
     
  • 3.11, ryoken (ok), 09:36, 15/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Опять же - вопрос теоретический. Сделать структуру на базе вменяемых вещей (LDAP-сервер, и что там ещё надо для работы), которая дял вендовых клиентосистем будет выглядеть как обычный AD DS.
     
     
  • 4.12, 1 (??), 09:59, 15/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тебе же сказали - Samba4. Как раз то, что ты хочешь.

    Если сложно - смотри реализацию в Calculate Linux.

     
  • 2.16, evkogan (?), 10:47, 16/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если ради интереса, то ответы выше.
    А если для продакшена, то надо понимать конечную цель, объем Win их распредеоенность и т.п. А также необходимый функционал.
    Для маленькой инфраструктуры сойдет и samba4.
    В большой организации если большинство ПК на Win и Вы этого менять не собираетесь, то ничего лучше AD нет. Ну вот умеет MS делать корпоративные продукты с интеграцией внутри MS.

    А если в плане перевода всех ПК на NIX, то у Вас вопрос стоит неправильно. Надо создавать NIX инфраструктуру (пока интегрированную с Win) и переводить ПК. А как управляться с остатками будет зависеть чего сколько останется.

     

  • 1.13, Catwoolfii (ok), 11:50, 15/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Если сложно самому осилить (на базе samba4), попробуйте nethserver, там это из коробки.
     
  • 1.23, Аноним (23), 10:23, 23/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Файловую 1С уже можно на ней запускать? С 1998 года жду этого момента.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру