» »

Odkrita kritična ranljivost v Sambi

vir: Heise
Heise - V vseh verzijah Sambe, ki omogoča deljenje datotek in tiskalnikov prek platform z uporabo protokola SMB/CIFS (tipičen primer je sodelovanje računalnikov z Windows in Linuxom), to je od 3.0.0 do 3.6.3 (ki je izšla januarja) so odkrili kritično ranljivost, ki napadalcu omogoča izvrševanje kode z administratorskimi (root) privilegiji. Ranljivost, ki je bila v kodi vse od leta 2003 (!), je zakrpana šele v sveži verziji 3.6.4, ki je izšla včeraj. Poleg tega so seveda izšli tudi popravki za zgodnejše verzije. O resnosti napake priča dejstvo, da so posodobili vse verzije od 3.0.37 dalje, čeprav so uradne podprte le linije 3.4.x, 3.5.x in 3.6.x. Na internetu že obstoji delujoč primer izkoriščanja (v obliki proof of concept), zato je posodobitev programa obvezna.

Težava tiči v generatorju kode za RPC (remote procedure call), ki lahko zaradi hrošča tvori ranljivo kodo. S posebej prilagojenim RPC-klicem je mogoče strežnik, ki poganja Sambo, pretentati v zagon poljubne kode z najvišjimi privilegiji (root). Vse, kar napadalec potrebuje, je navadna (unauthenticated) povezava do strežnika. Začasna rešitev v primerih, ko takojšnja nadgradnja ni mogoče (npr. v industriji), je nastavitev parametra hosts allow v datoteki smb.conf le na zaupanja vredne uporabnike. Ker je naslove zlahka mogoče ponarediti, je edina popolnoma zadovoljiva rešitev nadgradnja.

Dodatni problem predstavljajo naprave, kjer to ni mogoče. Samba je namreč nameščena v precej embedded sistemih, kjer nadgradnja ni vedno mogoča oz. enostavna. Mednje sodijo tudi nekateri televizijski sprejemniki, omrežni diski itd. Brian Gorenc, ki je ranljivost prvi javil, svojega dokaza koncepta ni izdal na splet, a pravi, da bodo zlikovci z analizo popravka zlahka ugotovili, kako izkoristiti luknjo.

18 komentarjev

Bakunin ::

Ce imas Sambo samo na intranetu (npr. LAN iface eth1 ter 192.168.1.*), potem odpres sambo samo ya intranet:

interfaces = 127.0.0.1 eth1
bind interfaces only = true
hosts allow = 192.168.1. 127.
MTU test > http://www.letmecheck.it/mtu-test.php

"I will not rule, and also ruled I will not be! " | irc://irc.sioff.net/slo-tech

ABX ::

Pa kdo pri zdravi pameti bi odprl net bios (ok, to je linux samba, ampak vseeno) na Internet?
Vaša inštalacija je uspešno spodletela!

jype ::

Obstajajo tudi organizacije, kjer je legitimnih uporabnikov preveč, da bi lahko z gotovostjo trdil, da nihče ne bo poizkušal početi neumnosti.

Zgodovina sprememb…

  • spremenilo: jype ()

ABX ::

Upam da taista organizacija nima Windows strežnikov, ker net bios, še danes (15? let po uvedbi) ni varna implementacija.
Vaša inštalacija je uspešno spodletela!

Bakunin ::

disable netbios = yes
smb ports = 445
MTU test > http://www.letmecheck.it/mtu-test.php

"I will not rule, and also ruled I will not be! " | irc://irc.sioff.net/slo-tech

jype ::

Netbios se (tam, kjer jaz skrbim za reči) ni nikoli uporabljal.

eVro ::

Bakunin je izjavil:

disable netbios = yes
smb ports = 445


čemu služi ta druga vrstica če nmbd itak ne lavfa?

Icematxyz ::

Razen "trenutne neprijetnosti", ki bo se bolj ali manj kmalu odpravila na namizju/strežnikih... preko rednih posodobitev se strinjam, da bo verjetno kar nekaj "embedded sistemov" odslej ranljivih.

ABX ::

Pač ugasneš Samba servis in uporabiš FTP/SSH.
Vaša inštalacija je uspešno spodletela!

Gandalfar ::

Ti pa res nimas rad svojih uporabnikov.

BlueRunner ::

eVro je izjavil:

Bakunin je izjavil:

disable netbios = yes
smb ports = 445


čemu služi ta druga vrstica če nmbd itak ne lavfa?

445/tcp so vrata preko katerih gre CIFS, t.j. dejanski podatkovni prenos. smbd, ne nmbd.

eVro ::

no sej. a ni tako da smbd posluša na 445, nmbd pa 139. z disable netbios = yes onemogočiš nmbd, torej nič ne posluša na 139. čemu je potrebna potem še 2. vrstica?

der_Alte ::

eVro je izjavil:

no sej. a ni tako da smbd posluša na 445, nmbd pa 139. z disable netbios = yes onemogočiš nmbd, torej nič ne posluša na 139. čemu je potrebna potem še 2. vrstica?

ad 1) ne.
ad 2) ne.
ad 3) ne.
ad 4) da, vendar nima zveze s 4.
ad 5) da izklopiš podporo za Netbios.
Umri mlad! Bodi lepo trupelce!

noraguta ::

ABX je izjavil:

Upam da taista organizacija nima Windows strežnikov, ker net bios, še danes (15? let po uvedbi) ni varna implementacija.

niti ni več vzdrževana opcija, kaj je sploh tvoj point? pa kdo to sploh še prakticira? w ostalem pa veliko omrežij AD sistemov dela in imajo vklučeno tudi sambo. a se kučiš ljubemu bogu na ljubo, da pokažeš svoje borno poznavanje omrežij in protokolov.
Pust' ot pobyedy k pobyedye vyedyot!

Icematxyz ::

Ubuntu + Samba z zadnjimi posodobitvami nima več te težave in verjetno je podobno tudi drugod. Glede "embedded sistemov" pa je zdaj verjetno dober test, kdo od proizvajalcev se bo odzval in ponudil popravek in koliko skrbnikov, oziroma lastnikov takšnih naprav bo ob morebitnem popravku tudi izvedlo posodobitev.

Za kaj drugega, kot "lokalno uporabo" v dokaj "varnih omrežjih" tako ali tako "embedded sistemi" brez popravka za to varnostno luknjo niso več in to pa mislim, da bo treba še nekaj časa izpostavljati! Dokaj zapletena reč da.

gslo ::

oh, še pomnite sambine remote ranljivosti izpred parih let? kiddiji širom sveta so si delal ddosnete iz tistega exploita. :-)

eVro ::

der_Alte je izjavil:

eVro je izjavil:

no sej. a ni tako da smbd posluša na 445, nmbd pa 139. z disable netbios = yes onemogočiš nmbd, torej nič ne posluša na 139. čemu je potrebna potem še 2. vrstica?

ad 1) ne.
ad 2) ne.
ad 3) ne.
ad 4) da, vendar nima zveze s 4.
ad 5) da izklopiš podporo za Netbios.


3. in 4. si zamenjal.

to se pravi kljub parametru "disable netbios = yes" s tem podpora za netbios še ni onemogočena?

Zgodovina sprememb…

  • spremenil: eVro ()

der_Alte ::

eVro je izjavil:

der_Alte je izjavil:

eVro je izjavil:

no sej. a ni tako da smbd posluša na 445, nmbd pa 139. z disable netbios = yes onemogočiš nmbd, torej nič ne posluša na 139. čemu je potrebna potem še 2. vrstica?

ad 1) ne.
ad 2) ne.
ad 3) ne.
ad 4) da, vendar nima zveze s 4.
ad 5) da izklopiš podporo za Netbios.


3. in 4. si zamenjal.

to se pravi kljub parametru "disable netbios = yes" s tem podpora za netbios še ni onemogočena?

Nič nisem zamenjal. Kar pojdi brat dokumentacijo. Če pa ne razumeš, pa prosi za razlago.
Umri mlad! Bodi lepo trupelce!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft v zadnjem letu odkril sto ranljivosti v tretjih programih

Oddelek: Novice / Varnost
112367 (1325) BigWhale
»

Google po enem letu podelil najvišjo nagrado za lovce na hrošče v Chromu

Oddelek: Novice / Brskalniki
194132 (1430) c0dehunter
»

Poganjanje Windows brez administratorskih pravic varneje (strani: 1 2 )

Oddelek: Novice / Operacijski sistemi
586732 (4596) noraguta
»

Nemčija: Odrecite se Firefoxu

Oddelek: Novice / Varnost
373603 (1636) srcek
»

Reverzni razvoj zlonamerne kode iz varnostne posodobitve

Oddelek: Novice / Varnost
102478 (1462) fiction

Več podobnih tem