CVE-2017-7494 - Remote code execution from a writable share

 ( trey | 2017. május 24., szerda - 19:54 )

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Úgy hangzik, mintha a potenciálisan libwannacry.so potenciális belépési pontját találták volna meg...

--
Where do you want to go today?
[nobody@salcay:~]$_

Naivitás azt hinni, hogy az NSA csak a Windows-okat "hallgatta le"...
Egyébként Debian Jessie ma frissült, gondolom ezt foltozták be (nem olvastam utána).

--
robyboy

Vagy ezt.

----
FreeBSD, Solaris, Debian, LMDE

Könnyen lehet, hogy mégis a 7494-es volt, mert az Ubuntun most frissítek, és ez van a frissítőcsomagban.
________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

Debian Security Bulletin alapján:

CVE-2017-7494

Dícséretes, hogy elöbb jön a patch, mint az RSS.

--
robyboy

Ki kell vágni mint egy tumort és jól el kell felejteni az egész sambát.
Nem tudom miért kell eröltetni ezt az m$ fost.

--
GPLv3-as hozzászólás.

Mert van rá igény és ez az alapja a linuxos Active Directory szervernek is. Enélkül a projekt nélkül még ennyi felhasználója se lenne a különböző disztribúcióknak, mint most. Amúgy meg nem az MS írta, csak az MS protokolját támogatja. Az OpenSSL-ben is voltak/vannak érdekes bugok.

igen a másik jómadár. El kellene felejteni az aktív direktoris baromságot is. Vannak jobb megoldások ha valakinek erre van gusztusa.

--
GPLv3-as hozzászólás.

jobb megoldásokra példa esetleg? :) Tényleg érdekelne :)

+1

+1

+1

+1

--
Where do you want to go today?
[nobody@salcay:~]$_

+sok :D
Én is várom.
Amúgy nem gusztus kérdése, rohadt sok időt lehet spórolni már 10 gép esetén is, hát ahol meg több ezer van. Szörnyet is halnának a szakik AD nélkül.

https://hup.hu/node/153751
A VLC-t is ki kellene vágni a francba meg az SRT-ket is :D
De végűl tíltsuk be a számítógépet is :)

+1 Komolyan .

+1

+1

köszönjük Emese.. azért remélem a találatokat is megnézted.

Ennél már az is jobb lett volna, ha azt írja, hogy Novell eDirectory :D

Ez egy kalap. Nem is, mert elefánt, csak megette a kígyó!
A találatok esetleg user és group managementre jók, többre nem nagyon. GPO terjesztés, Kerberos integráció, és egyebek? Tudom, fel lehet rakni és beállítani kézzel, de ugyanez bármelyik bögrémre is igaz.

--
Where do you want to go today?
[nobody@salcay:~]$_

Hát, ha már jött válasz a kérdésre, én bizony rákattintottam, érdekelt a téma.

Első találat a linkre: 8 Alternatives to Microsoft Active Directory | Top Best Alternatives

Nézzük csak:

  • 1. Microsoft Active Directory: Hát, ez önmaga, nem is értem, hogy nem jutott eszembe, mint alternatíva... Viszont kell neki a Windowsos fájlmegosztás, meg úgy az egész AD, szóval ide nem lesz jó nekünk...
  • 2. Univention Corporate Server: Sambát használ, szóval nem oldja meg a problémánkat.
  • 3. LepideAuditor for Active Directory: Ez egy auditor program az AD felügyeletére, kezelésére, és mellesleg a Windows fájlmegosztást is auditálja. Nem is értem, miért alternatíva ez, kell hozzá egy AD.
  • 4. OpenLDAP: Ez nem igazán az AD alternatívája (illetve csak egy része), de legalább a sambaval, kerberossal, binddel összekövtve már majdnem egy teljes AD-t tud helyettesíteni. Így kell összekötni sambaval.
  • 5. JXPlorer: Ez egy LDAP browser, java-ban írva. Nem világos, hogy miért vették egyáltalán ide. Tényleg valami hasonlót tud, mint az AD grafikus felülete, de ez nem egy alternatíva.
  • 6. 389 Directory Server: Ez egy LDAP szerver, ha fájlokat hálózati megosztást is szeretnénk mellé, akkor máris hozzá lehet csapni a samba-t is.
  • 7. ApacheDS: Ez egy JAVA-ban írt LDAP szerver + kerberos szerver, alapvetően mindent tud, amit egy Windows AD is adna, leszámítva a fájlmegosztást. Ha azt is szeretnénk, akkor sincs gond, a Samba-val is együtt tud működni.
  • 8. Samba:Remek alternatíva, csak nagyon kell hozzá a SAMBA!

Tulajdonképpen el lett ismerve, hogy nincs másik alternatíva. Vagy MS AD-t használok, vagy samba-t valamivel.

Nagy Péter

Valamit félrenéztél szerintem, a számozás az AD leírása (mint bevezető) után kezdődik. :)

Tök jó, mutass egyet, és változtasd meg vele az aktuális ipari standard-et!

--
Where do you want to go today?
[nobody@salcay:~]$_

Ipari standard = egyedüli directory service, amit a Windows tud használni

Mivel a Windows is tudja használni, és Samba által más rendszerek is, kvázi azzá nőtte ki magát.

--
Where do you want to go today?
[nobody@salcay:~]$_

És olyan alternatíva is van szerinted, amit a Windows is tud használni?

Úgy emlékszem régi olvasmányaim alapján, hogy az Active Directory az valamilyen Novell terméken alapult (nem tudom, hogy csak az ötletén vagy a megvalósításon). Azóta, amióta ezt olvastam, elég sok víz lefolyt a Dunán és mivel egyik terméket sem használom, nem tudom, hogy milyen változások történtek azóta.

A kérdésem kb. annyi, hogy vajon a Novell termék (ha még egyáltalán létezik), ki tudná váltani az Active Directory-t, vagy nem?

Ha jól sejtem, akkor az AD az voltaképp csak az adatokat tárolja, mint mondjuk egy LDAP szerver, és az a nagy jósága, hogy 1) az adatok struktúrája ismert és jól definiált, 2) egy csomó rendszer ismeri és integrálódik vele.

Vagy van valami más is, amit tud?

Nem alapult az semmilyen Novell terméken, az akkor NDS (aztán eDirectory) konkurenciája volt.

"Mint mondjuk egy LDAP szerver", igen, pont annyira tér el ez a "jól definiált" struktúra az addigi LDAP szerverekétől, hogy semmi mással nem tudod kiváltani. Nem véletlenül nem lehet OpenLDAP szervert Samba 4 AD backendként sem használni (pedig megpróbálták).

Az AD egy tipikus példája annak, hogy lehet nyílt szabványok felhasználásával egy olyan terméket csinálni, aminek aztán egy nyílt szabványú helyettesítője sem lehetséges.

Idézet:
"Mint mondjuk egy LDAP szerver", igen, pont annyira tér el ez a "jól definiált" struktúra az addigi LDAP szerverekétől, hogy semmi mással nem tudod kiváltani. Nem véletlenül nem lehet OpenLDAP szervert Samba 4 AD backendként sem használni (pedig megpróbálták).

Időnként még próbálják fel-fel támasztani (azt hiszem Andrew Tridgelll fejtegette valahol, hogy az OpenLDAP replikációja mennyivel jobb, mint az AD-s), de tényleg nem túl nagy prioval. Egyébként eredetileg az volt a gond, hogy itt-ott nem a standard LDAP működést várja az AD (tranzakciókezelés környékén volt a legtöbb gond), bele lehetne patchelni, csak most már a Samba-ból lesz nehéz kihúzni (ugyanúgy, mint a Heimdal kerberos-t, elvileg 4.7-re végeznek vele a piros kalaposok és lehet MIT krb-vel használni - és azt ígérik, hogy a kövi point release RHEL-ben tech preview-ként ott lesz az AD Samba).

Idézet:
Az AD egy tipikus példája annak, hogy lehet nyílt szabványok felhasználásával egy olyan terméket csinálni, aminek aztán egy nyílt szabványú helyettesítője sem lehetséges.

Na ja, minden csak kicsit nem kompatibilis a standarddal, meg mindent csak kicsit egészítenek ki :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Idézet:
pont annyira tér el ez a "jól definiált" struktúra az addigi LDAP szerverekétől, hogy semmi mással nem tudod kiváltani. Nem véletlenül nem lehet OpenLDAP szervert Samba 4 AD backendként sem használni

Ez érdekes.

Le tudod írni röviden, hogy mi hiányzik mondjuk az OpenLDAP-ból, ami miatt nem jó backendnek?

Itt részletesen is találsz dolgokat: https://wiki.samba.org/index.php/Samba4/LDAP_Backend
Itt meg a legutolsó status update-t, amivel találkoztam az OpenLDAP back-endről ill. hogyan tervezték/tervezik (nem tudom, foglalkoznak-e még vele) az összekötést: https://sambaxp.org/archive_data/SambaXP2014-DATA/thu/track1/Nadezhd_Ivanova-Samba4withOpenLDAPBackend-It_sAlive.pdf

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Volt egy ilyen 2015-ben is, akkor még nem temették el az ötletet :)

Nem az a baj, hogy hiányzik belőle valami, hanem az, hogy az alapvető sémában is vannak különbségek.

http://ldapcon.org/2015/wp-content/uploads/2015/09/ivanova-samba_backend.pdf


Conflicts with standard LDAPv3
– Same attribute name, different OID
– Object classes with changed definitions, attributes that in AD are operational

Meg még jópár dolog.

a windózt a wanacry miatt (meg egyéb vírusok, meg telemetria, meg hirdetések, meg privacy, meg kémkedés, etc,etc,etc miatt) a sambát meg topic indító cikk miatt kell kiváltani.
11 évvel ezelőtt kellett használnom ilyen windózos baromságot azóta nem hál istennek. Mindent ki lehet és kell váltani szabad szoftverrel.

--
GPLv3-as hozzászólás.

Mindent ki lehet és kell váltani szabad szoftverrel.

2017 ismét a Linux Desktop / mostmár Server éve ! ps (bocsánat, az opensource éve!)

> Mindent ki lehet és kell váltani szabad szoftverrel.

a "minden" egy erős szó :)

a helyes kifejezés : mindent _is_ :)

"Novell terméken alapult" -- nem. "Exchange Server was an entirely new X.400-based client–server mail system with a single database store that also supported X.500 directory services. The directory used by Exchange Server eventually became Microsoft's Active Directory service, an LDAP-compliant directory service which was integrated into Windows 2000 as the foundation of Windows Server domains."

"akkor az AD az voltaképp csak az adatokat tárolja, mint mondjuk egy LDAP szerver" -- nem. Az AD egy LDAP szerver és még egyebek is tartoznak oda.

Üdv,
Marci

Köszi.

(Akkor nem tudom, honnan jött ez a novell-es emlék. Lehet, hogy keverem valamivel. Régen volt, amikor erről olvastam).

Kipróbáltam a javasolt

nt pipe support = no

beállítást több működő samba szerveren is, oszt onnantól fogva XP és Win7 kliens nem tud csatlakozni hozzá (ez a kettő volt kéznél), szóval hatásos :)