Nebezpečná zranitelnost v Sambě již 7 let

25. 5. 2017

Byla objevena nebezpečná vzdálená zranitelnost v Sambě CVE-2017–7494, která tam je již 7 let. Exploit je jednořádkový a útočníkovi umožní spustit libovolný kód. Je potřeba aby byl dostupný port 445, sdílené soubory mají být zapisovatelné a je potřeba uhodnout cestu k těmto souborům.

Všechny verze od 3.5.0 jsou zranitelné. Chyba byla včera opravena ve verzích 4.6.4, 4.5.10 a 4.4.14. Pokud ještě nemáte opravenou verzi, lze prozatím použít tento řádek v konfiguračním souboru:

nt pipe support = no

(zdroj: arstechnica)

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

25. 5. 2017 10:36

RoderikH. (neregistrovaný)

Na čo používať balasty tipu smb a samba ? Keď máme SSH (to dokáže prenášať súbory) ? A pripojenie v skoro každej distribúcii nieje problém a Windows to dokáže z par kilobitovým programom.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 5. 2017 10:36

RoderikH. (neregistrovaný)

Akurát sú vždy plné bugov a aj NSA si cez ne prišla na svoje...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 5. 2017 10:46

MP (neregistrovaný)

User management? File locking? UNC? Co z toho SSH zajisti?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 5. 2017 10:47

BobTheBuilder

Stříbrný podporovatel

No jo, SMB je tak na prd, že asi proto Apple přešel na SMB jako výchozí protokol pro sdílení souborů. Ale je pravda, že mají vlastní implementaci, nepoužívají sambu.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 5. 2017 11:49

Boo (neregistrovaný)

Ale maji ji taky open source. https://opensource.apple.com/source/smb/smb-759.40.1/
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 5. 2017 10:47

TomK (neregistrovaný)

Jo a jeste muzem zrusit i NFS, kazdy ma preci scp, ze?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 5. 2017 10:52

Filip Jirsák

Stříbrný podporovatel

Hlavní využití Samby není pro to, aby si administrátor linuxového serveru přenesl k sobě nějaké soubory – jak si asi představujete. Samba se používá jako síťové úložiště souborů, které používají uživatelé – třeba zaměstnanci nebo studenti. Když účetní potřebuje otevřít nějaký soubor ve Wordu, nebude ho odněkud kopírovat přes SSH, lokálně upravovat a pak kopírovat zpět, ale prostě si ho otevře ze síťového disku stejně, jako kdyby ho měla uložený lokálně.

Alternativou by dnes možná v jednoduchých případech mohl být WebDAV, ale Samba řeší i věci kolem přihlašování uživatelů a uživatelských profilů – tj. centrální správu účtů v síti a přihlašování z Windows.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 5. 2017 11:02

RoderikH. (neregistrovaný)

Ja osobne mám takto pripojené SSH a nemám problém editovať priamo na tom tj. nemusím si kopírovať súbor (SSHFS Windows a Linux Mint natívne).. A prečo komplikovať prihlasovanie tak zložitými vecami keď máme RDP, VNC (tj tenké klienty) nieje to jednoduchšie na administráciu a na čas ?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 5. 2017 11:32

Filip Jirsák

Stříbrný podporovatel

Tenký klient nijak neřeší přihlašování – i ten uživatel tenkého klienta se pořád musí nějak přihlásit. A opravdu zábavná je představa, jak se 100 nebo 1000 lidí ve firmě přihlásí přes RDP na jeden vzdálený server a tam budou něco editovat ve Wordu, programovat nebo kreslit v Photoshopu – jenom proto, aby nemuseli sdílet soubory přes síť.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 5. 2017 11:54

RoderikH. (neregistrovaný)

ehm: Ja osobne mám takto pripojené SSH a nemám problém editovať priamo na tom tj. nemusím si kopírovať súbor (SSHFS Windows a Linux Mint natívne)..
A je to 100x bezpečnejšie ako smb.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 5. 2017 11:57

Filip Jirsák

Stříbrný podporovatel

Ja osobne
V tom je právě ten problém. To, co je použitelné pro jednoho administrátora, nemusí být použitelné pro síť s 5, 50 nebo 5000 uživateli.

A je to 100x bezpečnejšie ako smb.
I v implementacích SSH se nacházejí chyby.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 5. 2017 14:10

Petr M (neregistrovaný)

Takže sshfs + autofs? Výkonově teda nic moc. A ochrana proti ransomware na stejné úrovni, jako u NFS nebo SMB...

Jak to zlepší bezpečnost v lokální síti bez hostů a strojů s widlema nebo na VPN?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 5. 2017 16:41

MilHaus (neregistrovaný)

WebDaV :-D ?? No, to je z bláta do hodně hluboké a čerstvě zásobené žumpy.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
25. 5. 2017 18:27

j (neregistrovaný)

To jiste, a kazdej si poridi serverovou farmu ... to aby mel dost velkej power na upocitani toho sifrovani ... pocitam ze tak 2 jadra per uzivatel ...

Schvalne jo, pochlub se ... kolik ti to pres to SSHcko dava ... Ony si totiz specielne firmy porizujou 10G site ... aby pres to pak prenasely soubory rychlosti modemu ... ale zato bezpecne.

A ta uzasna flexibilita zejo ... takhle kdyz si dva useri otevrou stejnej soubor ... to teprve bude parada ... A jeste krasnejsi bude, az dva lidi budou ukladat soubor pod stejnym nazvem ...
- Zobrazit celé vlákno