image

Kritieke kwetsbaarheid in Samba-module laat aanvaller code als root uitvoeren

dinsdag 1 februari 2022, 10:49 door Redactie, 15 reacties
Laatst bijgewerkt: 01-02-2022, 10:56

Er is een kritieke kwetsbaarheid in een VFS-module van Samba gevonden waardoor een aanvaller op afstand op kwetsbare systemen code als root kan uitvoeren. Samba heeft beveiligingsupdates uitgebracht om de kwetsbaarheid, aangeduid als CVE-2021-44142, te verhelpen.

Samba is een opensourceprogramma dat van het smb-protocol gebruikmaakt en bijvoorbeeld Windows-machines met Unix-machines via zowel lokale netwerken als het internet laat communiceren. Via verschillende Virtual File System (VFS) modules is het mogelijk om de mogelijkheden van Samba verder uit te breiden. Een van deze modules is vfs_fruit, die voor betere compatibiliteit met Apple Server Message Block (SMB) clients en interoperabiliteit met Netatalk 3 Apple Filing Protocol (AFP) fileservers zorgt.

Een remote aanvaller met schrijftoegang tot de extended file attributes van vfs_fruit kan willekeurige code met de rechten van de Samba-daemon uitvoeren, wat meestal root is. De kwetsbaarheid werd gevonden door de bekende beveiligingsonderzoeker Orange Tsai van securitybedrijf DEVCORE. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9.9 beoordeeld. Beheerders wordt aangeraden om te updaten naar 4.13.17, 4.14.12 of 4.15.5. Een andere oplossing is het uitschakelen van vfs_fruit.

Reacties (15)
01-02-2022, 13:34 door Anoniem
Tip: maak geen koppelingen met windows of mac systemen, ook niet via winbind. Kost je nog MS CAL licenties ook. Laat ze het maar bij jou ophalen via https of desnoods webdav, Liefst via Own/Nextcloud.
01-02-2022, 15:00 door Bitje-scheef
Dat is mooi klote, gelukkig is updaten zeer gemakkelijk.
01-02-2022, 15:40 door Anoniem
@13:34 door Anoniem

1. Hoe bouw jij het op dat gebruikers niet alleen een bestand kunnen inzien via een webbrowser, maar ook kunnen verplaatsen of verwijderen uit een map?

Ben niet zo'n fan van grote all-in-one pakketten als Own/Nextcloud. Liever KISS applicaties welke exact dat doen wat ik nodig heb.

2. Welke applicaties gebruik je voor de webdav.

Lighttpd heeft een webdav module, maar hoe kunnen sommige windows gebruikers bestanden verplaatsen/verwijderen uit een gedeeld map?

Concreet gaat het mij om een gedeelde map tussen Windows en Linux gebruikers voor scans vanaf een kopieer/scan apparaat.

Graag je toelichting.
01-02-2022, 17:20 door Anoniem
Door Anoniem: @13:34 door Anoniem

1. Hoe bouw jij het op dat gebruikers niet alleen een bestand kunnen inzien via een webbrowser, maar ook kunnen verplaatsen of verwijderen uit een map?

Ben niet zo'n fan van grote all-in-one pakketten als Own/Nextcloud. Liever KISS applicaties welke exact dat doen wat ik nodig heb.

2. Welke applicaties gebruik je voor de webdav.

Lighttpd heeft een webdav module, maar hoe kunnen sommige windows gebruikers bestanden verplaatsen/verwijderen uit een gedeeld map?

Concreet gaat het mij om een gedeelde map tussen Windows en Linux gebruikers voor scans vanaf een kopieer/scan apparaat.

Graag je toelichting.

op elke linux desktop filer tegenwoordig kun je een "sftp://" url typen en dan gebruik je netjes een encrypted protocol om daarna drag/drop te pointy-klikken. je kunt ook sshfs gebruiken. er is niet echt een noodzaak in de praktijk. al jaren geen SMB of NFS meer gebruikt tussen werkstations oid.
01-02-2022, 17:31 door Anoniem
Ik snap niet waarom microsoft linux schijven niet wil kunnen lezen ?, dan was dat hele samba niet nodig.
Slecht voor de concurrentie waarschijnlijks, laat de mensen maar niet proeven aan linux.
01-02-2022, 17:56 door Tintin and Milou - Bijgewerkt: 01-02-2022, 17:56
Door Anoniem: Tip: maak geen koppelingen met windows of mac systemen, ook niet via winbind. Kost je nog MS CAL licenties ook.
Waarom kost dit je een licentie? Ik ben heel benieuwd waarom dit noodzakelijk zou zijn?

Laat ze het maar bij jou ophalen via https of desnoods webdav, Liefst via Own/Nextcloud.
Klink als een hele gebruikersvriendelijke oplossing. NOT....

https... Leuk met bestanden continue saven. Databases... Owncloud is leuk, maar verre van ideaal en eigenlijk nergens echt ondersteund.

Dit is weer een klaverblad advies, iets adviseren, maar er eigenlijk geen verstand van hebben.


Door Anoniem: Ik snap niet waarom microsoft linux schijven niet wil kunnen lezen ?, dan was dat hele samba niet nodig.
Slecht voor de concurrentie waarschijnlijks, laat de mensen maar niet proeven aan linux.
Je vergelijkt nu een bestandssysteem met een file share protocol. Dat is misschien de redenen waarom je het niet snapt?
01-02-2022, 17:58 door Anoniem
Door Anoniem: Ik snap niet waarom microsoft linux schijven niet wil kunnen lezen ?, dan was dat hele samba niet nodig.
Slecht voor de concurrentie waarschijnlijks, laat de mensen maar niet proeven aan linux.

Dan snap je niet waar filesharing voor is bedoeld? Je beschrijft de omgekeerde wereld. Samba is bedacht als compatibel met het bestaande smb protocol, niet andersom. De wereld draait niet om Linux maar om Windows helaas.
01-02-2022, 21:45 door Anoniem
Door Anoniem:
Door Anoniem: Ik snap niet waarom microsoft linux schijven niet wil kunnen lezen ?, dan was dat hele samba niet nodig.
Slecht voor de concurrentie waarschijnlijks, laat de mensen maar niet proeven aan linux.

Dan snap je niet waar filesharing voor is bedoeld? Je beschrijft de omgekeerde wereld. Samba is bedacht als compatibel met het bestaande smb protocol, niet andersom. De wereld draait niet om Linux maar om Windows helaas.
Microsoft leverde vroeger UNIX tools met NIS maar dat was niet zo effectief als samba. Jammer voor jou draait de wereld tegenwoordig onder Linux. Zelfs Azure is bijna allemaal Linux. MS heeft daarvoor een eigen Linux distro.
Tegenwoordig zit er ook standaard Linux in windows (WSL) en SSH in powershell naast natuurlijk de bash shell.
01-02-2022, 21:59 door Anoniem
Door Anoniem:
Door Anoniem: @13:34 door Anoniem

1. Hoe bouw jij het op dat gebruikers niet alleen een bestand kunnen inzien via een webbrowser, maar ook kunnen verplaatsen of verwijderen uit een map?

Ben niet zo'n fan van grote all-in-one pakketten als Own/Nextcloud. Liever KISS applicaties welke exact dat doen wat ik nodig heb.

2. Welke applicaties gebruik je voor de webdav.

Lighttpd heeft een webdav module, maar hoe kunnen sommige windows gebruikers bestanden verplaatsen/verwijderen uit een gedeeld map?

Concreet gaat het mij om een gedeelde map tussen Windows en Linux gebruikers voor scans vanaf een kopieer/scan apparaat.

Graag je toelichting.

op elke linux desktop filer tegenwoordig kun je een "sftp://" url typen en dan gebruik je netjes een encrypted protocol om daarna drag/drop te pointy-klikken. je kunt ook sshfs gebruiken. er is niet echt een noodzaak in de praktijk. al jaren geen SMB of NFS meer gebruikt tussen werkstations oid.
Maakt niet uit filemanager of browser of zoiets als winscp Zie bv https://www.digitalocean.com/community/tutorials/how-to-configure-webdav-access-with-apache-on-ubuntu-20-04
Je kan voor de documenten ook een aparte fileserver gebruiken en die naar apache verbinden met sshfs. Je hebt zelfs sshfs voor windows. Zelfs powershell kan tegenwoordig scp etc. Dus weg met dat samba en smb.
01-02-2022, 22:06 door walmare
Door Anoniem: @13:34 door Anoniem

1. Hoe bouw jij het op dat gebruikers niet alleen een bestand kunnen inzien via een webbrowser, maar ook kunnen verplaatsen of verwijderen uit een map?

Ben niet zo'n fan van grote all-in-one pakketten als Own/Nextcloud. Liever KISS applicaties welke exact dat doen wat ik nodig heb.

2. Welke applicaties gebruik je voor de webdav.

Lighttpd heeft een webdav module, maar hoe kunnen sommige windows gebruikers bestanden verplaatsen/verwijderen uit een gedeeld map?

Concreet gaat het mij om een gedeelde map tussen Windows en Linux gebruikers voor scans vanaf een kopieer/scan apparaat.

Graag je toelichting.
Zie https://www.digitalocean.com/community/tutorials/how-to-configure-webdav-access-with-apache-on-ubuntu-20-04#windows Zie ook winscp
01-02-2022, 22:14 door walmare
Door Tintin and Milou:
Door Anoniem: Tip: maak geen koppelingen met windows of mac systemen, ook niet via winbind. Kost je nog MS CAL licenties ook.
Waarom kost dit je een licentie? Ik ben heel benieuwd waarom dit noodzakelijk zou zijn?

Laat ze het maar bij jou ophalen via https of desnoods webdav, Liefst via Own/Nextcloud.
Klink als een hele gebruikersvriendelijke oplossing. NOT....

https... Leuk met bestanden continue saven. Databases... Owncloud is leuk, maar verre van ideaal en eigenlijk nergens echt ondersteund.

Dit is weer een klaverblad advies, iets adviseren, maar er eigenlijk geen verstand van hebben.


Door Anoniem: Ik snap niet waarom microsoft linux schijven niet wil kunnen lezen ?, dan was dat hele samba niet nodig.
Slecht voor de concurrentie waarschijnlijks, laat de mensen maar niet proeven aan linux.
Je vergelijkt nu een bestandssysteem met een file share protocol. Dat is misschien de redenen waarom je het niet snapt?
Voor elke koppeling van een niet windows device naar een windows server heb je een windows CAL nodig! Of het AD of DNS of DHCP etc is maakt niet uit. Zelfs als je thuis achter een Mac zit en verbinding maakt met de zaak met bv een sharepoint webserver heb je een connector CAL nodig: [url https://social.technet.microsoft.com/Forums/sharepoint/en-US/ce0fa1d2-1a7f-47ed-b7b5-2259af464893/licensing-for-internet-with-external-connector-license [/url] Zelfs voor een apache webserver als je authenticatie vi AD loopt.
01-02-2022, 22:19 door walmare
Door Tintin and Milou:
Door Anoniem: Tip: maak geen koppelingen met windows of mac systemen, ook niet via winbind. Kost je nog MS CAL licenties ook.
Waarom kost dit je een licentie? Ik ben heel benieuwd waarom dit noodzakelijk zou zijn?

Laat ze het maar bij jou ophalen via https of desnoods webdav, Liefst via Own/Nextcloud.
Klink als een hele gebruikersvriendelijke oplossing. NOT....

https... Leuk met bestanden continue saven. Databases... Owncloud is leuk, maar verre van ideaal en eigenlijk nergens echt ondersteund.

Dit is weer een klaverblad advies, iets adviseren, maar er eigenlijk geen verstand van hebben.


Door Anoniem: Ik snap niet waarom microsoft linux schijven niet wil kunnen lezen ?, dan was dat hele samba niet nodig.
Slecht voor de concurrentie waarschijnlijks, laat de mensen maar niet proeven aan linux.
Je vergelijkt nu een bestandssysteem met een file share protocol. Dat is misschien de redenen waarom je het niet snapt?
Voor elke koppeling van een niet windows device naar een windows server heb je een windows CAL nodig! Of het AD of DNS of DHCP etc is maakt niet uit. Zelfs als je thuis achter een Mac zit en verbinding maakt met de zaak met bv een sharepoint webserver heb je een connector CAL nodig: [url https://social.technet.microsoft.com/Forums/sharepoint/en-US/ce0fa1d2-1a7f-47ed-b7b5-2259af464893/licensing-for-internet-with-external-connector-license [/url] Zelfs voor een apache webserver als je authenticatie vi AD loopt.

Daarom, zorg dat je geen verbinding meer naar MS producten maakt. Scheelt je een hoop geld, want MS gelooft dit niet en wil later een sniffer plaatsen op basis van een oud MS contract wat jij al lang hebt opgezegd.
02-02-2022, 14:50 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik snap niet waarom microsoft linux schijven niet wil kunnen lezen ?, dan was dat hele samba niet nodig.
Slecht voor de concurrentie waarschijnlijks, laat de mensen maar niet proeven aan linux.

Dan snap je niet waar filesharing voor is bedoeld? Je beschrijft de omgekeerde wereld. Samba is bedacht als compatibel met het bestaande smb protocol, niet andersom. De wereld draait niet om Linux maar om Windows helaas.
Microsoft leverde vroeger UNIX tools met NIS maar dat was niet zo effectief als samba. Jammer voor jou draait de wereld tegenwoordig onder Linux. Zelfs Azure is bijna allemaal Linux. MS heeft daarvoor een eigen Linux distro.
Tegenwoordig zit er ook standaard Linux in windows (WSL) en SSH in powershell naast natuurlijk de bash shell.

NIS =/= NFS.
NIS = Network Information System, de opvolger van Sun's Yellow Pages (daarom heet de meeste nis tools ook yp....). Tegenwoordig wordt meestal LDAP of MS Active Directory gebruikt.
NFS = Network File System, het UNIX fileshare systeem. Deze zat ook in de UNIX tools. Je kunt met WSL (Windows Subsystem for Linux) meer UNIX functionaliteit op je Windows installatie krijgen.

SMB en NFS zijn beiden even effectief in die zin dat je een networked filesystem hebt waarop rechten kunnen worden ingesteld. Omdat men SMB helemaal heeft moeten reverse-engineeren omdat Microsoft niets vrijgaf heeft het (onnodig) lang geduurd voordat Samba een goed alternatief was op UNIX machines.

En voor de top poster: Windows kan nog steeds geen UNIX filesystems (ext4, btrfs, xfs) lezen zonder speciale (niet MS) programmatuur ook al is de meeste code hiervoor Open Source.
03-02-2022, 10:57 door Anoniem
Door Anoniem:
En voor de top poster: Windows kan nog steeds geen UNIX filesystems (ext4, btrfs, xfs) lezen zonder speciale (niet MS) programmatuur ook al is de meeste code hiervoor Open Source.

Dat is toch helemaal niet relevant? Het gaat hier over network filesystems zoals SMB. Niet over disk filesystems
zoals ext4 ofzo. Als je een SAMBA server draait dan kun je daar gewoon je favoriete Linux filesystem onder hangen
en de Windows clients kunnen daar gewoon files op benaderen, zonder dat MS daar aan meewerkt met speciale code.
05-02-2022, 12:30 door Anoniem
Door Bitje-scheef: Dat is mooi klote, gelukkig is updaten zeer gemakkelijk.
Het is zo makkelijk dat mijn Ubuntu 18 LTS nog op 4.7.6 hangt {Version 4.7.6-Ubuntu}.

Ik ga maar op zoek naar de optie om rottend fruit uit te zetten. Appels en peren !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.