Bezpečnostní chyba v Sambě
30. 5. 2008 10:55
Pavel Chalupa
Secunia objevila bezpečnostní chybu v softwaru Samba ve verzi 3.0.28a a 3.0.29 a pravděpodobně i starších. K chybě (a možnému zneužití pomocí exploitu) dochází při zpracování SMB paketů a přijetí velkého SMB paketu, které způsobí přetečení zásobníku. Podrobnosti v oznámení Secunia.
Dále čtěte…
- Samba obsahuje kritickou chybu, určitě aktualizujte 12. 4. 2012 9:28
- Vyšla Samba 3.6.0 10. 8. 2011 11:43
- Bezpečnostní chyba v administraci SWAT daemona Samba 28. 7. 2011 14:00
- Vyšla Samba 3.5.0 2. 3. 2010 11:59
- Vyšla Samba 3.5.0 RC1 a 3.4.4 8. 1. 2010 10:54
30. 5. 2008 11:40
Nový
nejenom v sambě
celé vlákno
Ve středu byla zveřejněna chyba nejenom v Sambě ale také v OpenSSL, více například zde.
mofo (neregistrovaný)
30. 5. 2008 11:44
Nový
Re: nejenom v sambě
celé vlákno
Chyba v OpenSSL je příliš vážná na to aby se zde mohla objevit :).
aura:97
30. 5. 2008 12:16
Nový
Re: nejenom v sambě
celé vlákno
Vazne?! Zajimave je ze se zde o ni psalo asio dva tydny drive nez treba na technetu...
http://www.root.cz/zpravicky/vazny-bezpecnostni-problem-s-openssl-v-debian
http://www.root.cz/zpravicky/vazny-bezpecnostni-problem-s-openssl-v-debian
aura:97
30. 5. 2008 12:18
Nový
Re: nejenom v sambě
celé vlákno
pardon chybi mi tam "u" na konci http://www.root.cz/zpravicky/vazny-bezpecnostni-problem-s-openssl-v-debianu/
30. 5. 2008 13:00
Nový
Re: nejenom v sambě
celé vlákno
Připomnělo mi to Minority report.
To, že se jedná o chybu v OpenSSL neznamená, že se jedná o stejnou chybu v OpenSSL.
Vámi zmíněna chyba se týká pouze Debianu a na něm založených distribucí.
Já píšu o jiné chybě, opravené ve verzi 0.9.8h.
To, že se jedná o chybu v OpenSSL neznamená, že se jedná o stejnou chybu v OpenSSL.
Vámi zmíněna chyba se týká pouze Debianu a na něm založených distribucí.
Já píšu o jiné chybě, opravené ve verzi 0.9.8h.
$ gaze version samba openssl Grimoire Section Spell Grimoire Version Installed Version -------- ------- ----- ---------------- ----------------- test net samba 3.0.30 3.0.30 test crypto openssl 0.9.8h 0.9.8h
aura:97
30. 5. 2008 13:05
Nový
Re: nejenom v sambě
celé vlákno
Ok tak to se omlouvam za neporozumeni ;]
Nicmene reagoval jsem hlavne na mofo, tvrdiciho ze chyba je prilis vazna, aby se tu objevila. Tato jiz zminena chyba se tu objevila a vazna byla IMHO taky dost.
Nicmene reagoval jsem hlavne na mofo, tvrdiciho ze chyba je prilis vazna, aby se tu objevila. Tato jiz zminena chyba se tu objevila a vazna byla IMHO taky dost.
Lael Ophir (neregistrovaný)
30. 5. 2008 14:18
Nový
Re: nejenom v sambě
celé vlákno
Jo, to je moc pěkná chyba. Vygenerované klíče měly sílu 2^15, tedy 32768 kombinací. Kupodivu se na to přišlo až po dvou letech. Jde zjevně o průšvih mimořádné závažnosti. Sranda je, že se vždy najde řada lidí, kteří tvrdí, že open source je bezpečnější, protože do kódu každý vidí. Vyskytnout se takový problém na Windows, píše se tu o tom ještě rok. Že je to Debian (plus zřejmě další distra), tak to zapadlo jako zprávička.
uživatel si přál zůstat v anonymitě
30. 5. 2008 15:38
Nový
Re: nejenom v sambě
celé vlákno
Vyskytnout se takovy problem na Windows, bude v dobe objeveni uz 4 roky aktivne vyuzivan ;)
Lael Ophir (neregistrovaný)
30. 5. 2008 16:11
Nový
Re: nejenom v sambě
celé vlákno
Zrovna ty věci, které jsou aktivně zneužívány, se objeví celkem brzy.
uživatel si přál zůstat v anonymitě
30. 5. 2008 17:22
Nový
Re: nejenom v sambě
celé vlákno
Asi tak nejak ... kdyz se clovek prohrabe po netu, tak vetsina (kritickych i nekritickych) veci je odhalena interne, takze nebyla nikdy(aspon se o tom nevi) zneuzita ... proto existuje vsem znamy windows update, ktery automaticky aktualizaci ihned stahne, jelikoz kdyz se objevi jeji release note, tak se teprve stava kritickou, ale jen pro skupinu lidi, co pravidelne neupdatuje ... pro ty ostatni je v praxi ten system stale bezpecny. Jinak to same plati nejspis i na linuxu. Open source ma kazdopadne tu "vyhodu", ze takovou chybu si muze najit kazdy, kdo umi programovat a rozumi tomu, kdezto ve windows je to jen pokus omyl a vetsinou nahoda, kdyz se na neco prijde (viz jiz zminovane, ze vetsinou jde o interni zjisteni). Takze bych si nebyl jisty, ze uz ta linuxova chyba se 2 roky vesele nezneuziva:) Jenom ji proste zneuzival skutecny hacker, cili clovek, ktery se s ni okamzite nepochvali celemu svetu:o) Pripadne nejaky vyvojar, kteremu se to tam podarilo chytre propasovat do kodu:) V tomhle je OSS velmi zradny:) Ja objevit takovou chybu, tak ji budu pouzivat a to s velkym rozmyslem a urcite to nebudu kazdemu vykecavat:o) Na windows kdyz nekdo nahodou objevi nejakou chybu, tak ji hned rozkrici do sveta na linux.com, slashdotu a podobnych a za den neni co resit nebo to odhali ruzne antiviry a podobne, protoze tyhle firmy se specializuji vyhradne na windows a na linux snad ani zadna takova neni. Co tim chci rict, ve vysledku to dela Linux velmi zranitelnym diky pristupnym zdrojovym kodum, protoze kdo si chce chybu fakt najit, tak ji tam proste diky prilozenym zdrojakum vzdycky najde, protoze zadny vetsi software neni bez chyby...
dan (neregistrovaný)
30. 5. 2008 21:01
Nový
Re: nejenom v sambě
celé vlákno
Na linuxu je odhali soft ktery analyzuje zdrojove kody, dela to jedna firma komercne a obcas je tak mila ze nahlasi nejakou dirku.. takze bych nerekl ze na open src je situace tak zla - pokud neco hledate v zdrojacich, tak samozrejme ze to muze hledat i automatizovany system.. a pak je nalezeni/oprava rychla.
uživatel si přál zůstat v anonymitě
2. 6. 2008 10:07
Nový
Re: nejenom v sambě
celé vlákno
na to se neda rict vic nez ROFL!
Seti (neregistrovaný)
30. 5. 2008 23:10
Nový
Re: nejenom v sambě
celé vlákno
To je teda s prominutím kravina... když někdo objeví chybu v linuxu, tiše ji používá, ale chybu ve windows hnedka vykřičí :DDD
Peto_MiG (neregistrovaný)
3. 6. 2008 10:16
Nový
Re: nejenom v sambě
celé vlákno
To sú ilúzie.
Už sa viackrát stalo, že objaviteľ chybu roztrúbil do sveta len preto, že v M$ ho rok a viac vytrvalo ignorovali. Po zverejnení chybu označia za "menej kritickú" a naplánujú opravu o dva mesiace, s odporúčaním "neotvárajte podozrivé dokumenty vo Worde" alebo "nechoďte na podozrivé webstránky".
Už sa viackrát stalo, že objaviteľ chybu roztrúbil do sveta len preto, že v M$ ho rok a viac vytrvalo ignorovali. Po zverejnení chybu označia za "menej kritickú" a naplánujú opravu o dva mesiace, s odporúčaním "neotvárajte podozrivé dokumenty vo Worde" alebo "nechoďte na podozrivé webstránky".
uživatel si přál zůstat v anonymitě
30. 5. 2008 15:39
Nový
Re: nejenom v sambě
celé vlákno
Obe chyby nejsou v praxi nejak zvlast zavazne.
n00b (neregistrovaný)
30. 5. 2008 16:47
Nový
Re: nejenom v sambě
celé vlákno
Kde že to pracujete? Některé lidi to zajímá..
uživatel si přál zůstat v anonymitě
1. 6. 2008 16:55
Nový
Re: nejenom v sambě
celé vlákno
Ve takove firme a na takove pozici, ze si mohu dovolit hodnotit zavaznost tech chyb. Konkretni specifikace se ale nedockate.
XX (neregistrovaný)
31. 5. 2008 12:39
Nový
Chyba je opravena
celé vlákno
Zatim co tady tlachame, chybu nekdo pro nas jiz opravil.
Oprava se objevila v repozitari Fedora-8 dnes rano, predpokladam, jine distra na tom nebudou jinak.
Oprava se objevila v repozitari Fedora-8 dnes rano, predpokladam, jine distra na tom nebudou jinak.
