Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Keskiviikko, 27.11.2002

Samba-palvelinohjelmistossa vakava tietoturvareikä

Tulostin- ja levyresurssien jakamiseen soveltuvasta Samba-palvelinohjelmistosta on löytynyt vakava tietoturva-reikä, jota hyväksikäyttämällä kräkkereillä on teoriassa mahdollisuus ottaa kohdetietojärjestelmä hallintaansa. Samba-kehitysryhmän tietoon ei kuitenkaan ole tullut yhtään ohjelmaa, joka osaisi hyödyntää aukkoa, eikä kehitysryhmä itsekään ole kokeiluissaan onnistunut tietoturva-aukon hyödyntämisessä.

Tietoturvareikä ilmenee Samban versioissa välillä 2.2.2 ja 2.2.6. Tietoturva-aukon vakavuuden vuoksi Sambasta on julkaistu versio 2.2.7, johon ongelma on korjattu. Kaikkia ylläpitäjiä suositellaan päivittämään Samba uusimpaan versioon.

Lue juttu oma, 27.11.2002 00:01. Lähde: Samba.org

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 4 uutta / 4 )
pistettä.
Näytä vain kommentit joilla on vähintään
Aukko.
Anonyymi kommentoija, 27.11.2002 10:14:38		 Pisteet: 0
Aukko on perinteinen buffer overrun-bugi, joka sijaitsee kryptattujen salasanojen tarkistuksessa. Liian pitkä, sopivan sisällön omaava salasana todellakin mahdollistaa koodin suorittamisen palvelimella. Se ettei aukkoa tiedetä hyödynnyttäneen tai että Samba-tiimi ei ole onnistunut siinä ei vähennä mitenkään mahdollisuutta.
junix Aukko?
junix, 27.11.2002 00:35:57		 Pisteet: 0
mitä tämä tarkoittaa? järjestelmässä on siis aukko, mukka kukaan ei ole onnistunut tai voinut hyödyntää sitä? vaikea käsittää milläperusteella se aukoksi määritelty, jos sillä ei kutienkaan voi tehdä mitään.

.. täytynee kuitenkin päivittää
hanska Re: Aukko?
hanska, 27.11.2002 02:37:44		 Pisteet: 0
vaikea käsittää milläperusteella se aukoksi määritelty, jos sillä ei kutienkaan voi tehdä mitään.
Jos Sambassa on aukko joka mahdollistaa sanotaan nyt vaikka käyttäjän samba shellin /bin/false. Nythän järjestelmä on suojannut itsensä eikä mitään ole päässyt tapahtumaan. mutta jos sollain kierolla tavalla sinne saa /bin/sh:n niin niin.

Tämä ei tietenkään ollut se reikä, mutta minun käsitykseni vakavasta ongelmasta jota ei voi hyödyntää. varmaan näet ajatuksen jota ajan takaa.

Hanska
Erehtyminen on inhimillistä, mutta täydelliseen sekoiluun tarvitaan tietokone
Re: Aukko?
Anonyymi kommentoija, 27.11.2002 12:04:54		 Pisteet: 0
Jos Sambassa on aukko joka mahdollistaa sanotaan nyt vaikka käyttäjän samba shellin /bin/false. Nythän järjestelmä on suojannut itsensä eikä mitään ole päässyt tapahtumaan. mutta jos sollain kierolla tavalla sinne saa /bin/sh:n niin niin.
Ei tarvi shelliä koska se on jo pyörivä smbd prosessi joka sisään luimutetun koodin suorittaa.