From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Sun, 16 Mar 2003 00:54:53 +0300 From: =?KOI8-R?Q?=E5=D7=C7=C5=CE=C9=CA_=F7=2E_=E8=CF=D2=CF=C8=CF=D2=C9=CE?= To: Sarlug mailing list Message-Id: <20030316005453.2a0998ee.horohorinev@mail.ru> X-Mailer: Sylpheed version 0.8.11 (GTK+ 1.2.10; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Subject: [Sarlug] Fw: [security-announce] IA: new samba-2.x packages available Sender: sarlug-admin@lug.ru Errors-To: sarlug-admin@lug.ru X-BeenThere: sarlug@lug.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: sarlug@lug.ru List-Unsubscribe: , List-Id: Saratov Linux User Group Maillist List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: Begin forwarded message: Date: Sat, 15 Mar 2003 20:09:52 +0300 From: ALT Security Team To: ALT Linux security announce list Subject: [security-announce] IA: new samba-2.x packages available Специалисты из SuSE Security Audit Team, и в частности Себастьян Крамер , обнаружили уязвимость в коде главного компонента Samba - демона smbd. Эта уязвимость позволяет внешнему злоумышленнику удалённо и анонимно получить права суперпользователя на сервере под управлением Samba. Эта уязвимость существует во всех версиях Samba, с 2.0.x до 2.2.7a включительно. Она является серьёзной проблемой и мы рекомендуем либо незамедлительно обновиться до Samba 2.2.8, либо предотвратить доступ к портам 139 и 445 на сервере. Ниже приводится набор советов, подготовленный Andrew Tridgell, лидером Samba Team, о том, как защитить сервер Samba без приложенного исправления уязвимости до момента установки обновлённой версии. Следует понимать, что установка новой версии обязательна и все приведённые ниже меры лишь помогут уменьшить возможность угрозы, но не предотвратить её. Протокол SMB/CIFS, который реализован в Samba, в силу своей природы изначально подвержен многим атакам, даже без учёта конкретных известных уязвимостей в реализации. Порт TCP 139 и новый порт 445, используемый в том числе Win2K и Samba 3.0, никогда не должны быть доступны для незащищённых сетей. Описание -------- В коде пересборки фрагментов пакетов SMB/CIFS протокола обнаружено переполнение буфера при некоторых определённых условиях, которое может привести к тому, что атакующий злоумышленник может вызвать перезапись произвольных областей памяти в адресном пространстве демона smbd. Это может позволить злоумышленнику внедрить в исполняемый процесс произвольный машинный код. Эта версия Samba 2.2.8 содержит специальные проверки на переполнение буфера в коде пересборки фрагментов пакетов SMB/CIFS с целью недопущения неразрешённых операций при восстановлении фрагментированных пакетов. Дополнительно, эти же проверки были добавлены и в соответствующий код в клиентской части Samba, что делает безопасным использование клиентских утилит в других службах. Благодарности ------------- Эта уязвимость в безопасности была обнаружена и сообщена Samba Team Себастьяном Крамером из SuSE Security Audit Team. Исправление было подготовлено Jeremy Allison и подвергнуто дополнительному анализу инженерами из Samba Team, SuSE, HP, SGI, Apple и сотрудниками соответствующих подразделений производителей Linux, подписанных на рассылку Linux Vendor security. Samba Team хотела бы выразить свою благодарность SuSE и лично Себастьяну Крамеру за отличную работу по аудиту и за обращение внимания к описанной выше уязвимости. Защита уязвимого сервера Samba ------------------------------ Samba Team, Март 2003. В этой заметке рассказывается о том, как обеспечить определённую защиту против недавно обнаруженной уязвимости в безопасности в том случае, если вы не можете немедленно обновить Samba. Даже если обновление проведено, предложения, описанные в данной заметке, могут помочь увеличить степень защищённости обслуживаемой системы. Защита с использованием ограничения доступа по узлам ---------------------------------------------------- Во многих системных конфигурациях основная опасность исходит из-за пределов внутренней сети. По умолчанию Samba принимает соединения от любого сетевого узла. Это означает, что если уязвимая версия Samba запущена на узле. непосредственно подключённом к Интернет, вероятность взлома возрастает многократно. Одним из простейших способов защиты в данном случае может быть использование опций-ограничителей 'hosts allow' и 'hosts deny' в smb.conf. Их задача -- ограничить доступ к серверу чётко ограниченным списком сетевых узлов. Пример: hosts allow = 127.0.0.1 192.168.2.0/24 192.168.3.0/24 hosts deny = 0.0.0.0/0 Приведённый выше пример позволяет SMB соединения только с локальной машины (самого сервера) и из двух приватных сетей 192.168.2 и 192.168.3. Все остальные соединения будут отвергнуты как только клиент отправит свой первый пакет серверу. Отказ в обслуживании будет отмечен сообщением об ошибке 'not listening on called name'. Защита посредством ограничения интерфейсов ------------------------------------------ По умолчанию Samba принимает соединения на любом сетевом интерфейсе, активизированном на сервере. Это означает, что если сервер имеет ISDN или PPP соединение с Интернет, то Samba будет принимать запросы по этим соединениям. Это поведение можно изменить с использованием опций 'interfaces' и 'bind interfaces only'. Пример: interfaces = eth* lo bind interfaces only = yes Приведённый выше пример ограничивает Samba соединениями на интерфейсах, чьи названия начинаются с eth, например, eth0, eth1, а так же локальным интерфейсом lo. Конкретные имена интерфейсов зависят от типов используемых физических соединений и операционных систем. Приведённые выше названия интерфейсов соответствуют интерфейсам сети Ethernet для систем на базе Linux. Если Samba настроена указанным выше образом и кто-то пытается осуществить SMB-соединение с сервером посредством интерфейса PPP с именем 'ppp0', то злоумышленник получит ответ с отказом незамедлительно. В этом случае никакой код внутри Samba не будет запущен, так как этот отказ будет сгенерирован операционной системой. Использование межсетевого экрана -------------------------------- Многие системные администраторы используют межсетевые экраны для ограничения доступа к определённым службам, которые не должны быть видимы за пределами локальной сети. Это хороший способ защиты, однако его можно рекомендовать все же в сочетании с перечисленными выше методами, для обеспечения дополнительной степени защиты в случае неактивности межсетевого экрана в некоторый момент времени по какой-либо причине. Samba использует следующие TCP и UDP порты, которые необходимо разрешить для внутренней сети и заблокировать для внешней: UDP/137 - демон nmbd UDP/138 - демон nmbd TCP/139 - демон smbd TCP/445 - демон smbd Последний порт особенно важен, так как многие старые межсетевые экраны могут не содержать правил, блокирующих его, поскольку этот порт был добавлен в протокол SMB/CIFS только в последние несколько лет. Использование запрета доступа к ресурсу IPC$ -------------------------------------------- Если перечисленные выше методы не подходят, можно также запретить доступ специальному ресурсу IPC$, используемому в описанной выше уязвимости в безопасности. Это позволяет по-прежнему предоставлять доступ к другим ресурсам при одновременном запрете доступа к служебному ресурсу IPC$ со стороны потенциально опасных сетей. Для этого необходимо настроить Samba следующим образом: [ipc$] hosts allow = 192.168.115.0/24 127.0.0.1 hosts deny = 0.0.0.0/0 Эта конфигурация позволит Samba принимать обращения к IPC$ только из двух указанных выше сетевых ресурсов (локального узла и локальной подсети 192.168.115). Доступ к другим ресурсам будет по-прежнему возможен согласно общим настройкам. Поскольку IPC$ является единственным всегда доступным анонимно ресурсом, то такая конфигурация позволяет обеспечить определённый уровень защиты от злоумышленников, не обладающих сведениями о именах пользователей и их паролях для защищаемого сервера. Если используется этот метода, то клиенты будут получать сообщение 'access denied' (доступ запрещён) при попытке обратиться к ресурсу IPC$. Это означает, что эти клиенты не будут иметь возможности просматривать список обслуживаемых ресурсов и, возможно, не будут иметь доступ и к некоторым другим ресурсам. Этот метод не является рекомендованным и может быть применён только в том случае, если ни один из вышеперечисленных методов не может быть использован по каким-то административным причинами. ---------------------------------------------------------------------- Обновления для дистрибутивов ALT Linux доступны по следующим адресам: + Для дистрибутива Linux-Mandrake RE Spring 2001: В процессе подготовки; будет доступно несколько позднее. + Для бета-версии дистрибутива ALT Linux Castle: В процессе подготовки; будет доступно несколько позднее. + Для дистрибутива ALT Linux Master 2.0 и дистрибутивов, выпущенных на его основе: ftp://updates.altlinux.com/Master/2.0/SRPMS/samba-2.2.8-alt0.1.src.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-client-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-client-cups-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-client-devel-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-client-devel-static-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-common-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-doc-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-swat-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-vfs-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-vfs-devel-2.2.8-alt0.1.i586.rpm + Для дистрибутива ALT Linux Junior 2.0 и дистрибутивов, выпущенных на его основе: ftp://updates.altlinux.com/Junior/2.0/SRPMS/samba-2.2.8-alt0.1.src.rpm ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-client-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-client-cups-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-common-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-vfs-2.2.8-alt0.1.i586.rpm ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-vfs-devel-2.2.8-alt0.1.i586.rpm + Для дистрибутива ALT Linux Master 2.2: ftp://updates.altlinux.com/Master/2.2/SRPMS.updates/samba-2.2.8-alt1.src.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-client-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-client-cups-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-client-devel-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-client-devel-static-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-common-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-doc-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-swat-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-vfs-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-vfs-devel-2.2.8-alt1.i586.rpm + Для дистрибутива ALT Linux Junior 2.2: ftp://updates.altlinux.com/Junior/2.2/SRPMS.updates/samba-2.2.8-alt1.src.rpm ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-client-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-client-cups-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-client-devel-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-common-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-vfs-2.2.8-alt1.i586.rpm ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-vfs-devel-2.2.8-alt1.i586.rpm + Для пользователей репозитория ALT Linux Sisyphus обновления доступны обычным образом. О готовности обновления для экспериментальной версии samba-3.0alpha будет сообщено отдельно. Пользователям дистрибутивов Linux-Mandrake RE Spring 2001 и бета-версии дистрибутива ALT Linux Castle рекомендуется переходить на ALT Linux Master 2.x Обновление можно проводить с помощью apt-get, как по адресам, приведённым выше, так и по адресам зеркал, приведённых по адресу http://www.altlinux.ru/index.php?module=download -- ALT Security Team -- Best regards, mailto: genix@sendmail.ru Genix http://saratov.lug.ru Registered Linux User #219993 JID: genix@jabber.org -= С моих слов записано верно, мною прочитано =-