The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в Samba, позволяющая удалённо выполнить код на сервере

16.10.2025 11:05

Опубликованы корректирующие выпуски пакета Samba 4.23.2, 4.22.5 и 4.21.9 с устранением уязвимости (CVE-2025-10230) в реализации сервера разрешения имён WINS, позволяющей добиться удалённого выполнения своего кода на сервере без прохождения аутентификации. Проблеме присвоен наивысший уровень опасности - 10 из 10.

Уязвимость вызвана отсутствием должной проверки значений, передаваемых перед запуском приложения, указанного в параметре "wins hook". Данное приложение запускается через команду "sh -c" при каждом изменении имени через WINS. При использовании WINS в контроллере домена Active Directory, имена NetBIOS, передаваемые в числе аргументов командной строки при запуске hook-приложения, не очищались от спецсимволов, что позволяло добиться выполнения произвольных shell-команд через указание в запросе к WINS-серверу специально оформленного имени NetBIOS. 


   cmd = talloc_asprintf(tmp_mem,
                      "%s %s %s %02x %ld",
                      wins_hook_script,
                      wins_hook_action_string(action),
                      rec->name->name,
                      rec->name->type,
                      (long int) rec->expire_time);
   ...
   execl("/bin/sh", "sh", "-c", cmd, NULL);

Клиент без аутентификации может отправить к WINS-серверу пакет регистрации и запросить любое имя NetBIOS, не превышающее 15 символов. Чистка таких символов, как '<', '>' и ';', в имени не производится. Соответственно при запуске hook-обработчика передача имени вида "name;id>file" приведёт к выполнению утилиты "id" и направлению вывода в файл "file".

Уязвимость проявляется на системах, в которых в smb.conf выставлен параметр 'wins hook' при использовании контроллера домена с активным сервером WINS (по умолчанию отключён и требует включения параметра "wins support = yes"). При использовании WINS-сервера в системах без контроллера домена уязвимость не проявляется. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo, Arch, FreeBSD, OpenBSD и NetBSD.

В опубликованных выпусках Samba также устранена менее опасная уязвимость (CVE-2025-9640), приводящая к утечке неинициализированной памяти. Проблема проявляется в модуле vfs_streams_xattr при возникновении сбоев выделения памяти, которые можно вызвать через совершение операций записи, создающих пустые области в файле. Уязвимость может быть эксплуатирована аутентифицированным пользователем.

  1. Главная ссылка к новости (https://www.samba.org/samba/la...)
  2. OpenNews: Выпуск Samba 4.23.0 с поддержкой протокола QUIC и активацией Unix-расширений SMB3
  3. OpenNews: Уязвимость в Samba и MIT/Heimdal Kerberos, приводящая к переполнению буфера
  4. OpenNews: Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога
  5. OpenNews: Уязвимость в Samba, позволяющая поменять пароль любому пользователю
  6. OpenNews: Удалённая root-уязвимость в Samba
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64062-samba
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:35, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +12 +/
    Не стоит ставить 10/10 уязвимостям, которые у нас васянов по дефолту отключены.
     
     
  • 2.11, нах. (?), 12:21, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +9 +/
    Я бы сказал что это вообще не уязвимость а служебная функция. Васян зачем-то удумавший запускать какие-то баш-скрипты из WINS (ШТОА?!) еще и до авторизации - недоволен что скрипты, ну надо же - запускаются.

    Причем на какой-такой случай ядерной войны придумана эта ненужная ненужна - наверное уже даже сами авторы самбы не вспомнят.

     
     
  • 3.31, User (??), 14:35, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ну, я лет эээ... 15? назад через этот (Вроде бы этот, но зуб не дам) механизм отдавал пользаку ближайший к нему включенный (!) сетевой принтер. Не то, чтобы без этого нельзя было бы обойтись, это хорошо работало и сильно упрощало процесс печати - но я был моложе и глупее...
     

  • 1.2, Аноним (-), 11:39, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    > не очищались от спецсимволов, что позволяло
    > добиться выполнения произвольных shell-команд

    Дидовые башпортянки наносят ответный удар. Опять!
    Олично спроектированная система))

     
     
  • 2.5, Аноним (5), 11:54, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    надо было на безопасном языке писать
     
  • 2.8, Аноним (8), 12:05, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    А что, чекер боровов уже и передаваемые аргументы от спецсимволов чистит?
     
     
  • 3.14, Аноним (14), 12:30, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > А что, чекер боровов уже и передаваемые аргументы от спецсимволов чистит?

    Но ведь он ничего не говорил про Раст. Как же смешны местные воины против ветряных мельниц...

     
     
  • 4.22, Аноним (22), 13:42, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Но ведь ты же говорил про альтернативы портянкам. Как же они называются?
     
     
  • 5.30, Аноним (14), 14:33, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > Но ведь ты же говорил про альтернативы портянкам.

    Нет, не говорил. Где ты это увидел?

    Сами приписывают другим утверждения про Раст и прочий бред - и сами выводят их на чистую воду. Господи, ну и цирк. Что с вами не так?

     
  • 4.25, Аноним (25), 13:44, 16/10/2025 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 4.37, Аноним (37), 17:29, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    >> А что, чекер боровов уже и передаваемые аргументы от спецсимволов чистит?
    > Но ведь он ничего не говорил про Раст.

    Говорил он про Раст или нет - это не имеет никакого значения. Видал, сколько плюсиков поставили? Все, дружок: бравые воины нанесли очередной сокрушительный удар по Расту! 😂

     
  • 4.39, Vivaswat (?), 17:34, 16/10/2025 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 2.15, Аноним (-), 12:50, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > Дидовые башпортянки наносят ответный удар. Опять!

    Деды считали, что привилигированные процессы не должны получать данные и команды от пользовательских.  Это святое правило деды строго чтили соблюдали. Например init не принимал команды от пользователей.

    И все с безопасностью было хорошо, но тут пришел вредитель потеринг, которого заслали для порчи системы. Он не разобрался как пользователь может дать команду дедовскому init для выключения компьютера. И решил что пользователь может передавать команды привелигорованным процессам через фильтры на JS и polkitd.

    > Олично спроектированная система))

    Поблагодари вредителя потеринга.

     
  • 2.17, Дробовик (?), 13:29, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >> имена NetBIOS... не очищались от спецсимволов, что позволяло добиться выполнения произвольных shell-команд
    > Дидовые башпортянки

    Уязвимость в дырявой самбе, а виноваты башпортянки

     
     
  • 3.18, Аноним (-), 13:35, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > а виноваты башпортянки

    Башпортянки defective by design c их необходимостью экранировать все и вся.
    С другой стороны, что еще ожидать от такой древности.

     
     
  • 4.23, Аноним (22), 13:43, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    На что ты заменишь на пхп или джаваскрипт?
     

  • 1.7, Аноним (7), 12:03, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Мы подаем необработанный пользовательский ввод в командную строку, что может пойти не так?
    В общем форменный xkcd/327.
     
     
  • 2.10, IdeaFix (ok), 12:12, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну смотри, вот создатели, хотя скорее опакечиватели, томкета не такие. Они сломали работу на 80 порту и работу от рута, сломали максимальное количество файлов которое может открыть сервис и сказали - теперь оно безопасно, т.к. не юзабильно.

    Хочешь пользовать - откати наши "защиты" вот тут, тут и тут, вектор атаки будет такой-то, но теперь это твоя ответственность, пользователь.

    Так что всегда есть альтернатива.

     

  • 1.16, Аноним (16), 13:07, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Ну прекрасно.

    Вместо того, чтобы написать (или взять готовый) билдер строки для exec с экранированием каждого аргумента (да, script придется сначала распарсить на токены - ну и?), имеем вот такое:

    /*
    + * Test that the WINS server does not call 'wins hook' when the name
    + * contains dodgy characters.
    + */
    +static bool nbt_test_wins_bad_names(struct torture_context *tctx)

    А потом будут удивляться, когда кто-то найдет не предусмотренный в этих bad names вариант.

     
     
  • 2.21, Аноним (22), 13:41, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Но имя комитерп конечно же нам не сообщишь. Это же не Jia Tan, это другое.
     
     
  • 3.28, Аноним (16), 14:16, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    да я не знаю, я патч скачал и посомтрел
     
  • 2.33, Аноним (33), 15:32, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Вместо того, чтобы написать

    Руки отрубать сразу за наличие RCE.

     

  • 1.19, Аноним (19), 13:36, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    А что вообще самба, на сколько реально на этом вашем линуксе заменить домен контроллер?
     
     
  • 2.24, Аноним (24), 13:43, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Реально на 100%
     
     
  • 3.26, Аноним (19), 13:51, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Есть реальный примеры, когда мигрировали с виндового домена без потери функциональности?
     
     
  • 4.34, Аноним (34), 17:16, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Конечно нет. В самбе нет такого гуя как в виндовс сервере. А это весьма существенная функциональность. Говорят что можно типа rsat прикрутить к самбе, типа будет похоже.
     
  • 4.38, Аноним (5), 17:31, 16/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > без потери функциональности?

    Функциональности бэкдоров?

     

  • 1.20, Аноним (22), 13:39, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Какая "неожиданная" "случайность"
     
  • 1.27, Соль земли2 (?), 13:55, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Исправили они это путём прогона name через isalnum.

    Но вот в bash переменные предлагается заключать в кавычки и любой символ не запрещается в значении. И bash выполнит exec без shell injection. Почему нельзя также?

     
  • 1.29, epw (?), 14:22, 16/10/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +/
     
  • 1.32, _kp (ok), 14:53, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >>Клиент без аутентификации _МОЖЕТ_ отправить... любое имя NetBIOS

    А разве не очевидно, что раз отправить могут что угодно, то это забота сервера проверять, всё что ему отправили.
    Классика - "Что может пойти не так" :)

     
  • 1.35, mumu (ok), 17:20, 16/10/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +/
     
  • 1.36, Vivaswat (?), 17:25, 16/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Дело ВаннаКрай живёт и процветает...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру