Nieuws
image

Samba patcht ernstig beveiligingslek

donderdag 29 mei 2008, 12:12 door Redactie, 10 reacties

Beheerders van een Samba-server of die de client versie hebben geïnstalleerd, zijn gewaarschuwd voor een ernstig beveiligingslek waardoor een aanvaller het systeem kan overnemen. Het probleem wordt veroorzaakt tijdens het verwerken van SMB pakketten waardoor er een heap-based buffer overflow kan ontstaan. Om de willekeurige code uit te voeren moet een aanvaller het slachtoffer een smb:// link laten openen, of een geprepareerd pakket naar een "nmbd" server sturen die als lokale of domein "master browser" is geconfigureerd.

Het lek werd op 15 mei gemeld en is aanwezig in versies 3.0.28a en 3.0.29, maar waarschijnlijk zijn ook oudere versies kwetsbaar. Gebruikers wordt daarom opgeroepen te updaten naar versie 3.0.30.

Reacties (10)
29-05-2008, 13:35 door SirDice
Let op.. Ook samba clients zijn vatbaar!

== Summary: Specifically crafted SMB responses can result
== in a heap overflow in the Samba client code.
== Because the server process, smbd, can itself
== act as a client during operations such as
== printer notification and domain authentication,
== this issue affects both Samba client and server
== installations.
29-05-2008, 14:10 door Eerde
.....moet een aanvaller het slachtoffer een smb://
link laten openen, of een geprepareerd pakket naar een
"nmbd" server sturen die als lokale of domein "master
browser" is geconfigureerd.

Oh, zijn dat die emailtjes met: "Open deze link svp"
smb://heap-based-buffer-overflow/file.ext
29-05-2008, 14:50 door SirDice
Vergeet niet dat firefox op linux, bsd en solaris ook smb:// links kan openen...

En een clientside javascriptje wat automagisch zo'n linkje opent is zo gemaakt..

smb://heap-based-buffer-overflow/file.ext
En je begrijpt ook duidelijk niet waar het probleem zit..

Wederom word je niet gehinderd door enige kennis..
29-05-2008, 15:06 door Eerde
Wat een humor weer SirDice !
29-05-2008, 15:07 door SirDice
Door Eerde
Wat een humor weer SirDice !
Inderdaad... Ik kan hartelijk lachen om jouw onwetendheid..
29-05-2008, 15:52 door Dr.Wh4x
Zeer kinderachtig SirDice en Eerde, misschien is een oppas
zoeken ?
29-05-2008, 16:21 door Spion
Of een opleiding waar je leert nadenken voordat je wat zegt. ;)
29-05-2008, 16:36 door SirDice
Nah.. Ik word alleen een beetje moe van dat getroll door Eerde..
30-05-2008, 09:35 door PolaMan
Door Eerde
Wat een humor weer SirDice !
Ah, nu begrijp ik je of-topic post bij het Flash-aanval
onderwerp,je bent pissed dat SirDice je een beetje lullig op
je plek zet.

SirDice heeft als pre-epoch old-guy blijkbaar een beetje
moeite geduld op te brengen voor 'kinderen' die het niet
helemaal begrijpen, en niet begrijpen dat ze het niet
helemaal begrijpen.
30-05-2008, 09:57 door Anoniem
Heh, meisjes toch. Laat elkaars haren nu eens los.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure