Remote root dans Samba

Posté par kadreg le 16 mars 2003 à 09:50. Modéré par Fabien Penso.

Étiquettes :

mar.

2003

La "SuSe security Team", durant un audit du code source de Samba, a découvert une faille dans smbd qui permettrait à un utilisateur externe d'obtenir à distance et anonymement les droits root sur la machine qui fait tourner le serveur. Cette faille existe dans toutes versions 2.X jusque (et inclus) la 2.2.7a. La version 2.2.8 a été annoncée aujourd'hui et contient un patch correctif.

Il est fortement conseillé de mettre à jour immédiatement.

Aller plus loin

Annonce (1 clic)
Le site de Samba (2 clics)
Source (1 clic)

# apt-get update & upgrade

Posté par Castor666 le 16 mars 2003 à 10:37. Évalué à 10.

Je venais de faire un petit apt-get update, puis apt-get upgrade sur ma Debian Woody, et c'est déjà dispo.
Allez, tous a vos claviers ;-)
- [^] # Re: apt-get update & upgrade
  
  Posté par the_freeman le 16 mars 2003 à 12:11. Évalué à 5.
  
  C'est dispos, mais il n'y a aucune information sur le sujet sur http://security.debian.org(...) (tout du moins pour le moment).
  
  AL
  - [^] # Re: apt-get update & upgrade
    
    Posté par Aurélien Jarno (site web personnel) le 16 mars 2003 à 15:46. Évalué à 10.
    
    Il faut regarder sur la mailing list debian-security-announce :
    
    http://lists.debian.org/debian-security-announce/debian-security-an(...)
  - [^] # Re: apt-get update & upgrade
    
    Posté par Pierre Pronchery (site web personnel) le 16 mars 2003 à 16:08. Évalué à 10.
    
    ...ou sur les mailing lists publiques de securite, telles:
    - bugtraq http://www.securityfocus.com/archive/1(...)
    - full disclosure http://www.netsys.com/cgi-bin/displaynews?a=301(...)
    sur lesquelles sont aussi postees les informations pour chaque distrib au fur et a mesure de leurs mises a jour respectives.
    khorben
# Re: Remote root dans Samba

Posté par Boa Treize (site web personnel) le 16 mars 2003 à 10:41. Évalué à 10.

Slackware 8.1 et Slackware-current (très bientôt Slackware 9.0) ont été mises à jour. Un mail a été envoyé à slackware-security, et vous pouvez également consulter les ChangeLogs pour plus d'informations.
# Re: Remote root dans Samba

Posté par Ramso le 16 mars 2003 à 10:41. Évalué à 10.

Encore bravo pour la réactivité des développeurs de samba et des éditeurs de distributions. Personnellement je l'ai appris avec les alertes de sécurité de Debian.

Encore une démonstration que l'ouverture du code et son audit sont utiles.
- [^] # Re: Remote root dans Samba
  
  Posté par Jar Jar Binks (site web personnel) le 16 mars 2003 à 10:45. Évalué à -5.
  
  On peut espérer que ce type de gestion des alertes de sécurité sera considéré comme un exemple. Une réponse rapide, synchronisée et efficace, nous voilà loin des sendmail et autres SSH.
  - [^] # Re: Remote root dans Samba
    
    Posté par Sylvain Rampacek (site web personnel) le 16 mars 2003 à 10:52. Évalué à 10.
    
    Je pense simplement que le bug à été découvert il y a quelques semaines/jours et tout le monde à travailler en collaboration avant de le rendre public...
    
    Car là, si j'ai bien compris, tout le monde aurait travailler cette nuit pour faire les paquets des différentes distributions ? (mandrake, debian, suse, slackware, le team samba et sûrement d'autres !).
    - [^] # Re: Remote root dans Samba
      
      Posté par Mr F le 16 mars 2003 à 12:03. Évalué à 10.
      
      Non le correctif Debian est disponible depuis le 15 mars, 17h45. Mais je pense aussi que la faille à été révélé aux distributions et l'équipe Samba avant l'annonce officielle. Ce qui me paraît logique.
    - [^] # Re: Remote root dans Samba
      
      Posté par Jar Jar Binks (site web personnel) le 17 mars 2003 à 10:14. Évalué à -5.
      
      Je pense simplement que le bug à été découvert il y a quelques semaines/jours et tout le monde à travailler en collaboration avant de le rendre public...
      Évidemment. C'est la qualité de ce travail collaboratif que je faisais remarquer, pas la vitesse de disponibilité du correctif (d'ailleurs rien ne dit qu'ils n'ont pas mis 3 semaines à le pondre). La liste vendor-sec sert à ça.
  - [^] # Re: Remote root dans Samba
    
    Posté par Boa Treize (site web personnel) le 16 mars 2003 à 10:58. Évalué à 10.
    
    Je n'ai pas suivi ces "affaires" de près, mais je sais qu'il existe des vulnérabilités faciles à patcher, et d'autres qui se révèlent être de très grosses prises de tête à corriger. Que Samba ait corrigé son trou de séculrité béant en peu de temps ne prouve rien quant à la qualité de leur travail, ou quant à la qualité du travail des équipes sendmail et SSH.
    - [^] # Re: Remote root dans Samba
      
      Posté par Jerome Alet (site web personnel) le 16 mars 2003 à 15:21. Évalué à -2.
      
      > Que Samba ait corrigé son trou de séculrité béant en peu de temps ne prouve > rien quant à la qualité de leur travail
      
      Samba existe.
      Quelle preuve supplémentaire te faut il de la qualité de leur travail ?
      - [^] # Re: Remote root dans Samba
        
        Posté par Pierre Pronchery (site web personnel) le 16 mars 2003 à 16:10. Évalué à 1.
        
        wu-ftpd existe aussi.
        khorben
        
        [^] # Re: Remote root dans Samba
        
        Posté par Fabrice Clerc le 16 mars 2003 à 17:22. Évalué à 6.
        
        c'est pas un peu de la légende urbaine, les trous de wu-ftpd? Ca fait 3 ans que j'en entends parler, j'ai du mal à croire qu'en 3 ans, rien n'a été fait. J'ai du mal à croire que ce serveur soit parmi les plus utilisés s'il est si mauvais que ça, vu la propension des linuxiens à ne pas utiliser d'outils boggés.
        Ca me fait penser aux gens qui disent du mal de Linux Mandrake alors que la dernière version qu'ils ont essayé est le 7.2 ou la 8.1...
        
        Fabrice
        
        [^] # Re: Remote root dans Samba
        
        Posté par Pierre Pronchery (site web personnel) le 16 mars 2003 à 17:33. Évalué à 5.
        
        Peut-etre que les dernieres versions n'ont pas de vulnerabilites publiques (j'ai pas regarde), mais en cherchant un peu tu peux trouver des versions vulnerables qui tournent toujours.
        Malheureusement beaucoup d'administrateurs pensent "ca marche toujours, donc y a pas de raisons de changer" et ne se tiennent pas au courant des mises a jour des logiciels qu'ils utilisent.
        D'autre part simplement parce qu'il est facile a configurer, et peut-etre meme propose par defaut dans certains systemes, ils vont le preferer a d'autres.
        Et puis, ceux qui cherchent des failles ont plus tendance a le faire sur les systemes les plus courants...
        khorben
        
        [^] # Re: Remote root dans Samba
        
        Posté par Pierre Pronchery (site web personnel) le 16 mars 2003 à 17:40. Évalué à -1.
        
        Ah et puis, c'etait qu'un exemple, pour dire:
        "c'est pas parce qu'un logiciel existe qu'il est forcement bon"
        khorben
        
        [^] # Re: Remote root dans Samba
        
        Posté par Jerome Alet (site web personnel) le 17 mars 2003 à 12:49. Évalué à -2.
        
        > wu-ftpd existe aussi.
        
        Certes.
        
        Serais tu capable d'écrire wu-ftpd ou Samba ?
        
        Si oui serais tu capable de les écrire sans laisser de "trous béants" ?
        
        Si oui alors chapeau !
        
        Si non bin alors Camembert !
        
        C'était le sens de mon message précédent.
        
        Un peu d'humilité ne fait de mal à personne...
        
        [^] # Re: Remote root dans Samba
        
        Posté par Jerome Alet (site web personnel) le 17 mars 2003 à 14:25. Évalué à -1.
        
        ah bin vu les -1, je suppose que si : l'humilité fait du mal à quelqu'un...
  - [^] # Re: Remote root dans Samba
    
    Posté par Annah C. Hue (site web personnel) le 16 mars 2003 à 11:09. Évalué à 10.
    
    C'est difficilement comparable.
    
    Sendmail et SSH se trouvent généralement accessibles par tout un chacun, et un trou de sécurité dans ces machins-là permettent à n'importe quel Jean-Kevin d'exploiter la faille, tandis que dans le cas de samba, si l'admin n'est pas un gros naze, seuls les utilisateurs du réseau local pourront utiliser cette faille.
    
    Les risques ne sont pas les mêmes, la réponse à donner non plus.
    - [^] # Re: Remote root dans Samba
      
      Posté par kadreg le 16 mars 2003 à 11:16. Évalué à 10.
      
      D'ailleurs dans le troisième lien, il y a rappel de quelques conseils d'utilisation avec le "hosts allow/hosts deny" et l'utilisation de "bind interfaces only"
    - [^] # Re: Remote root dans Samba
      
      Posté par Nicolas Roard (site web personnel) le 17 mars 2003 à 01:23. Évalué à 2.
      
      d'un autre coté, la majorité des piratages sont internes aux entreprises, non ?
  - [^] # Re: Remote root dans Samba
    
    Posté par Pierre Pronchery (site web personnel) le 16 mars 2003 à 16:14. Évalué à 9.
    
    Meme si samba est pas evident la premiere fois, Sendmail est certainement un cauchemar a packager. D'autant plus que sa configuration est difficile, et change parfois avec les nouvelles versions: certaines distributions ont du adapter la correction a d'anciennes versions de Sendmail pour cette raison.
    Une mise a jour de securite de sendmail, c'est un vrai cauchemar pour les admins qui l'utilisent.
    khorben
    - [^] # Re: Remote root dans Samba
      
      Posté par ours Ours (site web personnel) le 16 mars 2003 à 16:40. Évalué à 2.
      
      Une mise a jour de securite de sendmail, c'est un vrai cauchemar pour les admins qui l'utilisent.
      Bah ils sont habitués
      - [^] # Re: Remote root dans Samba
        
        Posté par Pierre Pronchery (site web personnel) le 16 mars 2003 à 17:38. Évalué à 5.
        
        Pas forcement: si t'as fait la configuration style un an auparavant, et que t'as pas rebidouille du sendmail depuis... D'autant plus qu'il peut y avoir des changements de postes entre temps...
        Non, tous les admins ne sont pas habitues a sendmail...
        khorben
        
        [^] # Re: Remote root dans Samba
        
        Posté par Slaanesh le 17 mars 2003 à 14:15. Évalué à 0.
        
        Jamais j'utiliserai sendmail (dans la mesure du possible bien évidemment)...c'est bien trop compliqué à configurer et y a bien trop de lignes à auditer....et py ca tourne en root....enfin bref rien de bien folichon.....
  - [^] # Re: Remote root dans Samba
    
    Posté par notrya2 le 18 mars 2003 à 00:13. Évalué à 6.
    
    > nous voilà loin des sendmail
    
    Le dernier problème sendmail a été très rapidement corrigé et toutes les distribes proposait un update le jour même. Idem pour le dernier problème ssh (quoique les choses sont allées un peu moins vite. Mais le problème était moins grave).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.