Опубликованы корректирующие выпуски пакета Samba 4.15.2, 4.14.10 и 4.13.14 с устранением 8 уязвимостей, большинство из которых могут привести к полной компрометации домена Active Directory. Примечательно, что одну из проблем исправляли с 2016 года, а пять - с 2020 года, тем не менее одно исправление привело к невозможности запустить winbindd при наличии настройки "allow trusted domains = no" (разработчики намерены оперативно опубликовать ещё одно обновление с исправлением). Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56132
Ну, это самба. То ли ещё будет, когда её в ядро протащат.
Мущина, проснитесь, проснитесь скорее!ksmbd - УЖЕ в вашем ведре. (а, смотрю, вы и не спите?)
Непонятно, почему поха минуснули? :) У кого-то пригорело? Так просвещайтесь: https://www.kernel.org/doc/html/latest//filesystems/cifs/ksm...
Модуль файлового сервера это далеко не вся Samba. AD и около него в ядре нет.
Пока нет.
Ключевое слово - пока.
Когда будет, тогда и приходи.
В 5.15 только.
Как Вас зовут? Не слышу, ну и ладно, пойду покакаю
К слову, в ksmbd только SMB3 и без расширенных возможностей. А в статье уязвимости в AD и SMB1
ну здрасьте... там как раз все кроме безнадежно мертвого v1, и (тадам!) с Rdma, ради которого вроде как и затевалось пихание всего и вся в ведро, "что-то не получилось", как обычно.Остальное в наличии, большая часть правда через userspace-daemon, но тот ни разу не самба и интеграцию с ней и ее тулзами обещают...когда-нибудь...лет через пятьдесят-семьдесят (ибо нехер лезть со своей подделкой под AD туда где ms еще продает оригиналы)
А пока вон, пройдись с диске...флэшкой и скопируй всем пароли.
> и (тадам!) с Rdma, ради которого вроде как и затевалось пихание всего и вся в ведро,каким местом сабж относится к ядру?
если без барабанов в голове?
> пользователь домена Active Directory, имеющий возможность создавать новые учётные записи на своей системе, управляемые через ms-DS-MachineAccountQuota, мог получить доступ с правами root на другие системы, входящие в домен.Это же просто прелестно. Я даже не знаю, как выразить всё своё восхищение качеством и безопасностью открытого кода. Такую-то закладку столько-то времени держать открытой, моё почтение разработчикам.
закладки открытыми не держат
Ну да, это конечно не сравнить с сегодняшним раскрытием 55 уязвимостей в продуктах Microsoft, из которых куча Remote Code Execution без аутентификации. В Samba всего-то для атаки требуется наличие прав админа :-)https://www.zerodayinitiative.com/blog/2021/11/9/the-novembe...
Особенно порадовали дыры "CVE-2021-42298 Microsoft Defender Remote Code Execution Vulnerability" и "CVE-2021-38666 Remote Desktop Client Remote Code Execution Vulnerability"Из 55 уязвимостей для двух уже в обиходе применялись эксплоиты, а у четырёх информация была публично раскрыта до исправления. Зачем им торопиться, enterprise же.
"А у вас негров линчуют!".
Правильно, когда нечем аргументировать можно и дураком обозвать
> For November, Microsoft released patches today for 55 new CVEs in Microsoft Windows and Windows Components, Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office and Office Components, Windows Hyper-V, Windows Defender, and Visual Studio.А смешно. К чему это сравнение с таким гигантским фронтом?
Ну это ж MS! Это уже нормально.
Ну так ты ж не умеешь кодить, а кто за тебя будет-то?
Как показывает эта заметка - они тоже не умеют.
Не показывает. У них есть продукт. А у него только мохнатые ручки и подслеповатые глазки
UOD: извините, в ядре другоеА ведь его в ядре 5.15 приняли... Хорошо, что menuconfig существует
Samba в ядро не принимали.
Там своя. Более лёгкая реализация.
гуд
Ну да, ну да - гуд ... в другой руке(С)
Не путайте ksmbd с отдельной самбой. У них вообще общего кода нет, по моему.
А, ну круто :)
Когда тебя чпокнут через жто - ты такой - "Да это же не самба - не щитово!" :-))) А чпокнут обязательно, просто сказка - ремотный доступ прямо в кЁрелХ ... вАх!(С)
И тем более 7 из этих 8 уязвимостей в принципе не могут быть найдены в этом самом ядреннном.
Потому что оно это не умеет (SMBv1 и Active Directory).
... пока не умеет. Но ведь такое не в первый раз происходит :-Р
> клиентские соединения, установленные с использованием протокола SMB1А может уже пришла пора выпилить этот протокол совсем?
Когда будет возможность выпиливать smb1 на этапе компиляции целиком вместе с его вонючим lanmanager? Небось размазали по всей samba его...
Вообщем-то, в винде уже давно выпилили, как раз из-за дыреней.
Когда пошла мода тянуть в ядро клиентские приложения/функционал аля винда?
Wireguard привязан к производительности сети - это понятно.А самба каким боком важность заработала?
Т.е. суть есть ftp в ядре. Это где видано? Охренеть приплыли.
Был когда-то http-сервер в ядре, tux назывался. Правда в состав оффициальных ядер он не входил вроде
> Когда пошла мода тянуть в ядро клиентские
> приложения/функционал аля винда?Ньюфаг что ли? Аля винда это клиент-серверное взаимодействие, API/DOM/DCOM/RPC.
Врубать в ядро всё подряд c возможностью отключения - это чисто линуксовый подход.> Wireguard привязан к производительности сети
> - это понятно.Вирегард - вишенка на торте. Линуксовое ядро что твой фаршированный болгарский перец уже как лет 20.
> А самба каким боком важность заработала?реализация на уровне ядра более эффективна с точки зрения производительности, потребления памяти и интеграции с расширенными возможностями ядра.
(так написано в предыдущей новости по ksmbd)
Оффтопик, конечно, но у меня вопрос про переводы и как к этому относиться.Наверное, не один я заметил, что в красивом и чудесном мире Auth переводы терминов на русский какие-то... коряво звучащие, хотя при этом правильные.
OAuth2 выдаёт жетоны (token), которые содержат утверждения (claims), хотя скорее требования или претензии. Особенно жутко становится при попытке переводить SAML, который стандартизирует передачу утверждений (assertion) между поставщиком удостоверений (identity provider) и поставщиком услуг (service provider) для аутентификации или авторизации на полагающейся стороне (relying party) для организации идентификации на основе утверждений (сlaims-based identity). Если сравнить OAuth2 и SAML окажется, что самый часто используемый поток авторизации (authorization flow) - поток кода авторизации (authorization code flow) вполне достижим в SAML с применением привязки артефактов (artifact binding), реализующего аналогичную схему единого входа в систему (single sign on).
Я могу и дальше так продолжать... просто автору новости слово билет глаз порезало, поэтому у него ticket-ы повсюду.
Смелее надо быть и больше любить русский язык. А то я как расскажу вам тут про передачу утверждений SAML в федерированной среде в рамках кода авторизации OAuth2 и последующим получением жетона на поставщике услуг, производящим олицетворение (impersonation) пользователя в приложении не поддерживающем утверждения, а работающим с применением того же Kerberos.
На "билеты" автора попрыщило, ха, слабак.
> переводы терминов на русский какие-то... коряво звучащиеДело привычки.
Когда годами долбят про "значительные выпуски", "жетоны" и проч., потом не нужно удивляться, что разработчики софта (!) просят IT-отдел на рабочие станции ставить "русскую версию" того-то и сего-то.
то ли дело когда они говорят вслух про мажорные релизы и токены на своём эльфийском диалекте русского
Вообще-то ticket в Kerberos официально именуется сеансовым мандатом, а не билетом. Но при таком упоминании не очевидно, что имеется в виду, а при написании "ticket" тем, кто давно работает с Kerberos, сразу становится понято о чем речь. Вы же предлагайте перевод ради перевода, при котором никто не поймёт что подразумевалось.
> Вообще-то ticket в Kerberos официально именуется сеансовым мандатом, а не билетом.Не так... Сеансовый мандат - это как раз та самая сущность, которой оперирует каждый протокол децентрализированной аутентификации и/или авторизации. И чтобы не было путаницы в этих протоколах эти сеансовые мандаты называются по-разному. Жетоны, утверждения, билеты.
> Но при таком упоминании не очевидно, что имеется в виду, а при написании "ticket" тем, кто давно работает с Kerberos, сразу становится понято о чем речь.
Много это сколько? Я плотно с ним работаю примерно 12 лет и мне понятно и ticket и билет, которые переводятся того что 1 в 1. Проблема о которой я говорю выражается в двух вещах:
1) У некоторых людей есть необъяснимое желание создавать мешанину из русского и английского особенно в тех местах где это избыточно, русских слов вполне хватает и они переводятся недвусмысленно.
2) Именование терминов в протоколах аутентификации и авторизации корявое не только в русском, но и в английском. Я говорю по-английски и понимаю, как глупо звучат некоторые вещи, особенно в SAML.> Вы же предлагайте перевод ради перевода, при котором никто не поймёт что подразумевалось.
Я предлагаю снизить порог вхождения в протоколы децентрализированной аутентификации и авторизации путём выбора одного языка. Либо английского, либо русского, не предлагая глупой бессмысленной мешанины, которая заставляет того, кто пытается разобраться в этих путанных протоколах, учить вполне известные английские слова как имена собственные, несмотря на наличие аналогичных русских слов. Путаница при переводе возможна только между claim и assertion, но это SAML, а мы говорим сейчас про билеты и ticket-ы Kerberos.
И вообще я не понимаю, что значит "никто не поймёт", я пойму и так и так, просто изобретение и добавление в русскую речь тикетов, токенов, ассершенов и прочих артефактов не помогает пониманию новичков.
Сеансовый мандат - это ты! :)
Вот ещё на вашем - НГМД, КДПЗУ ну и прочий ППЦ :-D
Уххх аж зубы свело :-F
Олицетворение? Чёт мне кажется не тот смысл, оно же притворяется кем-то? Там есть "исполнение роли" -- это первое о чём бы я подумал, услышав данное слово.>an act of pretending to be another person for the purpose of entertainment or fraud.
Олицетворение такое олицетворение… Держите свои потные ручки подальше от моего софта и может быть когда-нибудь я стану использовать локали. Хорошо конечно, что серьёзный софт может позволить себе нормальных переводчиков, но обидно за опенсорс.
Ооооо, а где тут любитель обмазываться дыркой в ексчендже? Ну который тут непрерывно скакал петушком и рассказывал как это опасно в любой новости. Пропал что-ли? Ан нет, выше кго брат пришёл, с первой нагугленной ссылкой на всю инфраструктуру мс.
Сразу видно, опенсорс дыр гораздо меньше и лотаются оперативнее =)
Самое забавное когда хочешь удалить Самбу нафиг из дистрибутива, но оказывается что её хочет MPV.
Знвчит вот такой у вас хреновый дистрибутив.
А в твоём дистре не различаются мягкие и жёсткие зависимости?
$ sudo pacman -R samba
проверка зависимостей...
:: libsoup опционально требует samba: Windows Domain SSO
:: libsoup3 опционально требует samba: Windows Domain SSO
:: mc опционально требует samba: VFS supportПакеты (1) samba-4.15.2-1
Будет освобождено: 54,82 MiB