Обновление Samba 4.4.5, 4.3.11 и 4.2.14 с устранением уязвимости

09.07.2016 10:08

Доступны корректирующие выпуски Samba 4.4.5, 4.3.11 и 4.2.14, в которых устранена уязвимость (CVE-2016-2119), позволяющая обойти механизм проверки по цифровой подписи и организовать MITM-атаку (man-in-the-middle), при которой клиент может быть направлен на подставной сервер SMB2 и SMB3.

Проблема связана с возможностью отключить проверку по цифровой подписи для установленного соединения с клиентом через подстановку пактов с флагами SMB2_SESSION_FLAG_IS_GUEST или SMB2_SESSION_FLAG_IS_NULL. Проблема в основном представляет угрозу для конфигураций winbindd с пробросом DCERPC поверх SMB2, используемых для взаимодействия с контроллером домена, так как по умолчанию защита по цифровой подписи для обычных соединений не применяется.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/44763-samba

Ключевые слова: samba

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (68)

1.1, Аноним (-), 11:42, 09/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	–22 +/–
2016-й год. Кто-то еще использует виндовый SMB для шаринга файлов по сети? Разве что хипстеры.

2.2, Аноним (-), 11:49, 09/07/2016 [^] [^^] [^^^] [ответить]	+6 +/–
огласите весь список решений, пжлста.

3.18, Аноним (-), 21:44, 09/07/2016 [^] [^^] [^^^] [ответить]	–7 +/–
NFS, не?

4.20, Аноним (-), 04:32, 10/07/2016 [^] [^^] [^^^] [ответить]	+3 +/–
Куда вы пойдете с nfs? самба-шара померла и х. с ней. а нфс? зависшая система? нафиг, нафиг.

5.24, iZEN (ok), 16:00, 10/07/2016 [^] [^^] [^^^] [ответить]	+/–
> Куда вы пойдете с nfs? самба-шара померла и х. с ней. а нфс? зависшая система? нафиг, нафиг. Неужели так всё плохо с NFS у вас? Не знал.

3.23, Ilya Indigo (ok), 15:57, 10/07/2016 [^] [^^] [^^^] [ответить]	–7 +/–
dc++/adc ftp/sftp bittorent/emule Ни и ваше любимое, в чём суть я не понимаю вообще, nfs/smb Мы в студенческой общаге ещё в 2005-ом году, когда интернет был 32кбит/сек, и нам подключили городскую сеть 100 Мбит/сек, то виндовой сетью и нетглюком пользовались только ламеры, и те, кто распечатывает документы, с указанием комнаты и открытой папкой для скидывания документов. У адекватных людей виндовая сеть была или отключена совсем, или был 1 файл, с dc++ клиентом и инструкцией по настройке. Зачем это использовать 11 лет спустя, когда уже интернет 100 мбит и повсюду рулят торренты с фриличем, я ума не прилажу...

4.25, soarin (ok), 16:10, 10/07/2016 [^] [^^] [^^^] [ответить]	+/–
Вы ударились или серьёзно? Какие на фриличи/торренты?

5.26, Ilya Indigo (ok), 16:26, 10/07/2016 [^] [^^] [^^^] [ответить]

–5 +/–

> Вы ударились или серьёзно?

Нет не ударялся.
> Какие на фриличи/торренты?

Рутреккер, рутор, лостфильм, пиратский торрент... их ещё тысячи, но пользуюсь только этими.

И через торрент-клиент можно создать свой торрент-файл, даже частный, с последующей его скачкой тому, у кого будет торрент-файл.

6.27, Прохожий (??), 16:31, 10/07/2016 [^] [^^] [^^^] [ответить]	+/–
А причем здесь вообще torrent !? Samba ведь для другого предназначена. Как у вас организована совместная работа рабочих групп с данными, неужели через torrent ?

7.28, Ilya Indigo (ok), 16:41, 10/07/2016 [^] [^^] [^^^] [ответить]

–5 +/–

> А причем здесь вообще torrent !?
> Samba ведь для другого предназначена. Как у вас организована совместная работа рабочих
> групп с данными, неужели через torrent ?

Через svn/git и readmine.
А если просто файлик передать Вася Пете хочет, то через скайп.

P.S. Или вы под рабочими группами понимаете то, что они обозначают на оффтопике?

8.30, Прохожий (??), 17:03, 10/07/2016 [^] [^^] [^^^] [ответить]	+/–
Под рабочими группами я подразумеваю объединение нескольких людей работающих над... текст свёрнут, показать

9.33, Ilya Indigo (ok), 17:20, 10/07/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Ну всё верно Создаётся новый проект В readmine в разделе wiki указываются нео... текст свёрнут, показать

10.38, . (?), 02:50, 11/07/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Ну повезло У вас на всю контору - текстовые файлы и прочее А у ченя есть хмм ... текст свёрнут, показать

11.44, Ilya Indigo (ok), 10:36, 11/07/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Но можно и по Джаберу, он тоже по сети передавать умеет Смысл в том, возможно у... большой текст свёрнут, показать

12.46, тоже Аноним (ok), 11:15, 11/07/2016 [^] [^^] [^^^] [ответить]	+2 +/–
Потому что продолжаете мыслить категориями общаги Пример у меня несколько чело... текст свёрнут, показать

12.47, SysA (?), 11:41, 11/07/2016 [^] [^^] [^^^] [ответить]	+/–
Поинтересуйся на досуге у друзей знакомых Internet a чем отличается образ мы... текст свёрнут, показать

13.55, _ (??), 17:35, 11/07/2016 [^] [^^] [^^^] [ответить]	+1 +/–
WoooW How pathetic Ну а можно для нас, _обычных_, просто взять и показать как... текст свёрнут, показать

13.69, Аноним (-), 02:07, 13/07/2016 [^] [^^] [^^^] [ответить]	+/–
Опять народ не тот, не оценили гениальности ного гения, панимаш ... текст свёрнут, показать

8.42, iPony (?), 06:58, 11/07/2016 [^] [^^] [^^^] [ответить]	+5 +/–
Скайп И этот человек с гордостью выше расказывал как он крутой будучи студентом... текст свёрнут, показать

9.45, Ilya Indigo (ok), 10:52, 11/07/2016 [^] [^^] [^^^] [ответить]	–2 +/–
Уважаемый местный хипстер, который, по мимо всего прочего, заявлял, что он владе... текст свёрнут, показать

10.53, iPony (?), 14:48, 11/07/2016 [^] [^^] [^^^] [ответить]	+/–
Во Кстате на Ubuntu Mobile файловый менеджер внезапно из коробки умеет SMB Тое... текст свёрнут, показать

6.36, soarin (ok), 18:42, 10/07/2016 [^] [^^] [^^^] [ответить]	+1 +/–
А бэкап мне тоже через срутрекер заливать? А хотя неважно, логики ноль...

7.37, Ilya Indigo (ok), 21:07, 10/07/2016 [^] [^^] [^^^] [ответить]

–4 +/–

> А бэкап мне тоже через срутрекер заливать?

А зачем вам свой бэкап расшаривать остальным?
Для заливки бэкапов, как и любых файлов, sftp существует.
> А хотя неважно, логики ноль...

У вас, однозначно, да!

8.39, . (?), 02:53, 11/07/2016 [^] [^^] [^^^] [ответить]	+/–
А как виндо шелезякам просунуть что нить в бэкап Само простое решение Которо... текст свёрнут, показать

8.41, iPony (?), 06:40, 11/07/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Во, уже чуть-чуть логика пошла А если я делаю инкрементальный бэкап, тоесть надо... текст свёрнут, показать

9.49, SysA (?), 11:48, 11/07/2016 [^] [^^] [^^^] [ответить]	+3 +/–
Еще один админ локалхоста ... текст свёрнут, показать

10.52, iPony (?), 13:36, 11/07/2016 [^] [^^] [^^^] [ответить]	+/–
Да, совершенно верно Но я же не строю из себя кого-то другого ... текст свёрнут, показать

9.50, Ilya Indigo (ok), 12:02, 11/07/2016 [^] [^^] [^^^] [ответить]	+/–
Как раз для этого и предназначены svn git, преимущество в удобном читаемом форма... текст свёрнут, показать

10.56, _ (??), 17:44, 11/07/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Тьфу Ilya Indigo скажи честно - ты же не пользовал ни svn ни git Потому как е... текст свёрнут, показать

11.58, тоже Аноним (ok), 18:40, 11/07/2016 [^] [^^] [^^^] [ответить]	+/–
Ну как же Обязательно надо git Особенно там, где у вас большие TIFF-ки Наш д... текст свёрнут, показать

11.70, й (?), 14:44, 16/07/2016 [^] [^^] [^^^] [ответить]	+/–
эм, я использовал svn как раз для цели хэндлить репу с бинарными релизами по-мо... текст свёрнут, показать

10.68, й (?), 23:22, 12/07/2016 [^] [^^] [^^^] [ответить]	+1 +/–
возьмите любый свежий a c netgear или tp-link или linksys любой, предназнач... текст свёрнут, показать

8.48, SysA (?), 11:47, 11/07/2016 [^] [^^] [^^^] [ответить]	+2 +/–
А если остальные - это виндовый бэкап-сервер исторически и я не могу разгра... текст свёрнут, показать

9.67, my (?), 20:49, 12/07/2016 [^] [^^] [^^^] [ответить]	+/–
Чем оно лучше Извратиться понаставив разных клиентов для использование sftp, за... текст свёрнут, показать

10.72, Аноним (-), 20:29, 16/07/2016 [^] [^^] [^^^] [ответить]	+/–
Вопрос поставлен некорректно Никакой инструмент не хуже и не лучше Для решения... текст свёрнут, показать

4.66, 123 (??), 17:26, 12/07/2016 [^] [^^] [^^^] [ответить]	+/–
Сферический сумасброд в вакууме, с удовольствием посмеялся бы над вами, как вы на предприятии с сотней машин будете для каждого чиха торрент файл создавать очень продуктивно, куда уж там самбе и групповым политикам.

2.3, й (?), 11:55, 09/07/2016 [^] [^^] [^^^] [ответить]	+/–
в 2016 году полно роутеров с usb, которые умеют только smb и ftp, например.

2.4, Прохожий (??), 11:56, 09/07/2016 [^] [^^] [^^^] [ответить]	+9 +/–
Ну я пользуюсь, и что ? Сервер на Debian, клиенты в локалке на Win и совсем не хипстер. Подскажите решение для шаринга отличное от SMB чтобы без граблей, костылей и т.д. работало для секретарей и руководства. Или сказали так, отметиться в теме первым ?

3.10, Аноним (-), 14:17, 09/07/2016 [^] [^^] [^^^] [ответить]	–6 +/–
У тебя руководство с секретарями занимается ШАРИНГОМ? А ты в вокруг здания листья и пыль метёшь?

4.11, Прохожий (??), 15:54, 09/07/2016 [^] [^^] [^^^] [ответить]	+/–
А у вас общие документы и прочее где лежат, не на шаре ? По моему здесь стеб про листья и пыль не совсем уместен, или это юмор такой ?

5.14, Аноним (-), 18:09, 09/07/2016 [^] [^^] [^^^] [ответить]	+/–
> А у вас общие документы и прочее где лежат, не на шаре > ? > По моему здесь стеб про листья и пыль не совсем уместен, или > это юмор такой ? Он считает нормальной ситуацию, когда для каждого юзера нужно прописывать монтирование каждой шары вручную. Ну и у него наверно, весь штат на линуксе работает (завидую, честно)

6.31, Адекват (ok), 17:06, 10/07/2016 [^] [^^] [^^^] [ответить]

+/–

> Он считает нормальной ситуацию, когда для каждого юзера нужно прописывать монтирование
> каждой шары вручную. Ну и у него наверно, весь штат на
> линуксе работает (завидую, честно)

Ты дебил или дебил?
Пишется один bash/bat файл, и помещается в автозагрузку. Пользователю. В его учетную запись. Его операционной системы. Я специально большое предложение разбил на несколько более мелких, чтобы у тебя мозг не взорвался.
Конечно это решение на коленке, но и оно - будет работать.

7.32, Аноним (-), 17:20, 10/07/2016 [^] [^^] [^^^] [ответить]	+/–
подскажите - а какая винда из коробки понимает NFS ? что бы не покупать дополнительные продукты.

8.34, Ilya Indigo (ok), 17:31, 10/07/2016 [^] [^^] [^^^] [ответить]	–3 +/–
Недавно же вышла SUSE Linux Enterprise 12 Service Pack 1 Эта винда может из к... текст свёрнут, показать

8.35, Адекват (ok), 18:20, 10/07/2016 [^] [^^] [^^^] [ответить]	+/–
Никакая, nfs не нужен Есть samba NetBios, которые просто работают и все ... текст свёрнут, показать

9.40, . (?), 03:00, 11/07/2016 [^] [^^] [^^^] [ответить]	+/–
Никакая Потому что NFSv4 - это большой слно в посудной лавке CIFS v В с... текст свёрнут, показать

9.43, Аноним (-), 10:25, 11/07/2016 [^] [^^] [^^^] [ответить]	+/–
Это ненадолго В четвёртой ветке стало сложнее поднять тупо-файлопомойку, если н... текст свёрнут, показать

7.63, Аноним (-), 14:00, 12/07/2016 [^] [^^] [^^^] [ответить]	+/–
Смените ник. Как ваши батники помогают браузить неизвестные шары? Пихание батника в автозагрузку и его обновление как автоматизируете? (без домена)

7.73, Аноним (-), 20:31, 16/07/2016 [^] [^^] [^^^] [ответить]	+/–
Ответ. Неправильный. Есть. Групповые. Политики. Так. Понятней?

2.5, soarin (ok), 12:40, 09/07/2016 [^] [^^] [^^^] [ответить]	+5 +/–
> Кто-то еще использует <censored> SMB для шаринга файлов по сети? Все используют. Особой замены не сделали по сочетанию скорости, кроссплатформенности, надежности.

3.15, Аноним (-), 18:57, 09/07/2016 [^] [^^] [^^^] [ответить]	–5 +/–
> скорости > надежности У вас есть чувство юмора.

4.16, soarin (ok), 19:25, 09/07/2016 [^] [^^] [^^^] [ответить]	+5 +/–
ну как есть, а всякие клоуны тут от любого повода смеются - бывает.

4.51, SysA (?), 13:20, 11/07/2016 [^] [^^] [^^^] [ответить]	+1 +/–
>> скорости >> надежности > У вас есть чувство юмора. A вы просто не умеете их готовить! (С)

2.6, Garikk (?), 12:49, 09/07/2016 [^] [^^] [^^^] [ответить]	+/–
В энтерпрайзе сплошь и рядом

2.7, EuPhobos (ok), 13:18, 09/07/2016 [^] [^^] [^^^] [ответить]	–1 +/–
> 2016-й год. Кто-то еще использует виндовый SMB для шаринга файлов по сети? > Разве что хипстеры. 2016-й год. Виндуз всё ещё мэйнстрим, как бы печально это не звучало.

2.8, leap42 (ok), 14:09, 09/07/2016 [^] [^^] [^^^] [ответить]	+/–
работаю среди прочего в региональном комитете здравоохранения: одних бабок только штук 40, и все - бывшие врачи. они тоже хипсторы? обмен файлами через сетевой диск - всё на что они способны. samba в openSUSE благодаря yast вводится в домен и настраивается за пару минут в духе "далее-далее-далее" и прекрасно обслуживает сотни пользователей с их файлами, а заодно и хранит бекапы с серваков годами.

2.12, Ordu (ok), 16:31, 09/07/2016 [^] [^^] [^^^] [ответить]	+1 +/–
> Разве что хипстеры. Как вы понимаете слово "хипстер"? Мне кажется как-то очень по-своему, как-то очень интимно и заковыристо. Всем очень интересно было бы узнать.

3.17, тоже Аноним (ok), 20:12, 09/07/2016 [^] [^^] [^^^] [ответить]	+4 +/–
Насчет того, что всем интересно, вам совершенно необоснованно кажется. Всем насрать, что этот тролль понимает. Но он может быть доволен: с его вбросом сколько-нибудь конструктивного обсуждения под этой новостью уже не будет. Один тупой флуд.

2.13, Аноним (-), 18:05, 09/07/2016 [^] [^^] [^^^] [ответить]	+/–
Вики говорит, что хипстеры это люди с неопределенными стилем и взглядами, которые всем не нравятся потому что они "хипстеры". Т е очередной удобный термин оскорблять неизвестных людей для сетевых неадекватов...

2.54, ононо (?), 14:58, 11/07/2016 [^] [^^] [^^^] [ответить]	+1 +/–
что с этим NFS делать? только зашёл с другой системы и всё, доступа к файлам нет. вот наxрен такое нужно? я что, должен на всех системах создать пользователя с одним и тем же именем и uid? неxер мне больше делать. уж лучше у меня будет парольный доступ к моей инфе, а доступом пусть рулит acl. просто и надёжно.

3.57, _ (??), 17:49, 11/07/2016 [^] [^^] [^^^] [ответить]	+/–
Завит!(С) У нормальных людей для этого директорий прикучен. Не обязательно ADъ, LDAP-based тоже работает :) И не надо "создавать юзеров" :-)))

4.59, тоже Аноним (ok), 18:42, 11/07/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Поднимать какую бы то ни было авторизацию в случае одноранговой сети на десяток машин? Только для того, чтобы не пользоваться проклятыми самба-шарами? Это уже религия какая-то, а не администрирование.

5.60, _ (??), 21:13, 11/07/2016 [^] [^^] [^^^] [ответить]	–1 +/–
1) Да - поднимать 2) Почему чтобы _не_ ползоваться? У №№1 в независимости от, есть свои плюшки которые чОттка отливаются в съэконмленное время, которе есть деньги! ... 3) PROFIT

6.61, Дегенератор (?), 01:55, 12/07/2016 [^] [^^] [^^^] [ответить]	+/–
Стоя и в гамаке...

7.62, . (?), 03:46, 12/07/2016 [^] [^^] [^^^] [ответить]	+/–
LDAP, даже совсеми схемами и репликацией настроить - как два пальца обо^W два байта переслать. Для таких как ты там нонче всё гуЁвое. Что это тебе даст? А не скажу - попробуй и подсядешь! :-р

5.64, Аноним (-), 14:03, 12/07/2016 [^] [^^] [^^^] [ответить]

+/–

> Поднимать какую бы то ни было авторизацию в случае одноранговой сети на
> десяток машин?
> Только для того, чтобы не пользоваться проклятыми самба-шарами?
> Это уже религия какая-то, а не администрирование.

Ну и самба фигово браузится под линем, учетка пользователя сами по себе доступа не дают, как винде. Т е либо пароли в скрипт писать, либо вводить и запомниать в брелоке... Фигня какая-то.

6.65, тоже Аноним (ok), 14:46, 12/07/2016 [^] [^^] [^^^] [ответить]	+/–
Может быть, наисвежайшая версия самбы и доставляет какие-то проблемы. Но у меня несколько самба-шар открыты на Wheezy-сервере, и никаких проблем с доступом к ним из одноранговой сети нет. На тех машинах, что под Убунтой, можно спокойно добраться до этих шар по сети, но я просто прописал монтирование нескольких нужных в fstab. Получается, им "браузить" сеть вообще незачем. Работают с конкретной закладкой, даже не задумываясь, куда она ведет.

1.9, Аноним (-), 14:16, 09/07/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
опять каноникал убунту поломает

игнорирование участников | лог модерирования

Добавить комментарий

Текст: