Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 40 reacties
Submitter: Brantje

De ontwikkelaars achter Samba, de software die in Linux wordt gebruikt voor filesharing via het smb-protocol van Windows, hebben vrijdag in allerijl een patch uitgebracht vanwege een ernstig beveiligingsprobleem. Alle 4.x.x-versies waren kwetsbaar.

Het beveiligingsprobleem maakt het mogelijk om met een browser pakketjes te overschrijven in de nmbd-server, een daemon die kan communiceren met NetBIOS. Daardoor is het mogelijk om op afstand root-code uit te voeren, zo maakte Samba bekend.

Samba heeft versies 4.1.11 en 4.0.21 aangemerkt als beveiligingsuitgaven, slechts twee dagen nadat versie 4.0.20 nog werd vrijgegeven. Daarnaast zijn er voor oudere versies ook patches beschikbaar gekomen. Samba zegt dat systeembeheerders zo snel mogelijk de patch moeten installeren. Voor wie dat niet kan, is er een workaround beschikbaar. Die houdt simpelweg in dat de nmbd-server niet mag worden uitgevoerd.

Het is niet voor het eerst dat er een ernstige kwetsbaarheid in Samba is aangetroffen. Twee jaar geleden konden kwaadwillenden eveneens op afstand root-code uitvoeren. Destijds waren alle versies sinds 2003 kwetsbaar.

Moderatie-faq Wijzig weergave

Reacties (40)

Ik snap niet hoe je root-toegang kunt krijgen. Samba draai je toch als een beperkte user lijkt me. Of is het dan Netbios dat als root draait en dus root-toegang kan geven?
Inderdaad, dit snap ik ook niet.

Juist om dit soort problemen te voorkomen ga je geen services onder root draaien. Of zijn er distro's die dit wel doen met smbd?
In Unix is root access nodig om poorten onder de 1024 te binden. Services zoals Apache doen dan vervolgens een setuid naar iets non-root en forken het proces. In het geval van Samba wordt een nieuw proces geforked met je user credentials wanneer je connect. Alleen root kan namelijk processen forken als een andere user. Maar ondertussen draait Samba dan dus nog wel als root voor nieuwe verbindingen en kan slachtoffer zijn voor dit soort lekken.
Aha, figures.

Dat is dan ook de reden dat bijv. Debian Dovecot in een chroot draait.
Wat wordt er hier bedoeld met "root-code"?
Wellicht duidelijker dan de heren boven mij: Sinds Vista kent Windows het UAC, de popup als je wat wil installeren. Linux heeft dat, bij mijn weten, altijd al. Daar moet je software en dergelijke installeren als root, welke een gebruiker op het systeem is. Als root kun je dus alles doen met het systeem. Vandaar ook de ernst van het probleem.
Is UAC makkelijker te omzeilen dan sudo? Schijnt dat er nog al veel browser based exploits makkelijk hun rechten opgekrikt krijgen tot admin of bijvoorbeeld zich vermomen als een scherm dat toestemming vraagt voor het update van flash of java.
omzeilen ≠ vermommen

Zoals je zelf al aangeeft, maakt het misbruik van de kennis van de gebruiker ;)

Volgens mij zijn er ook wel wat root exploit voor de linux kernel, maar die zijn naar mijn weten al outdated en vooral 'local'.
Bij Linux is het meer een kwestie van je kernel up-to-date houden. En dus een distro draaien die nog ondersteund wordt. Er komen regelmatig vulnerabilities voorbij waarmee je root kunt worden. Niet altijd op elke server van toepassing overigens.
De meeste problemen zitten niet in de kernel maar in programma's die elevated rechten gebruiken.
Dan kan je je kernel nog zo up-to-date hebben, als Samba een probleem heeft zal dat je niet beschermen.
"It may be possible touse this to generate a remote code execution vulnerability as the
superuser (root)."

Dat je code kan uitvoeren als superuser (root)
Code die loopt in de security context van de user root. Omdat root "alles" kan en mag, betekent dit dat een hacker door deze kwetsbaarheid te misbruiken alles kan op het aangevallen systeem.
Code uitvoeren met de hoogst mogelijke rechten op een Linux/Unix systeem.
Tijd om mijn Synology af te schermen?
Iets zegt mij dat deze weleens kwetsbaar kan zijn.

[Reactie gewijzigd door Indir op 1 augustus 2014 21:45]

Als je Samba gebruikt lijkt het mij verstandig. Desnoods installeer je de VPN Server in Package Center. 24 juni nog CVE-2014-0244, en nu dit weer. Gelukkig is Synology supersnel met het uitbrengen van patches. Eerlijk gezegd verwacht ik deze week nog een patch van Synology. De vorige liet ook maar 1 dag op zich wachten.

[Reactie gewijzigd door nanoChip op 1 augustus 2014 21:50]

Ik heb ze net op de hoogte gebracht van de bug via security@synology.com.
Even netjes het linkje van de CVE erbij.
Heb zelf ook spul van hun hier staan, maar even uit voorzorg Samba uitgezet, ook al gebruik ik het vaak, zekere voor het onzekere nemen.
Dit kan je doen bij "File Sharing - Win/Mac OS" en dan het vinkje bij "Enable Windows File Service" weghalen.

[Reactie gewijzigd door Brantje op 1 augustus 2014 22:02]

Euh, als je Windows filesharing niet naar buiten open staat, is dit een vrij overdreven maatregel. Normaal gesproken zou dat niet zo moeten zijn en dan ben je dus ook niet kwetsbaar voor aanvallen vanaf het internet op dit lek.
Voorzover ik kan zien zit het wel goed qua beveiliging. Dus nee mijn SMB is niet via het internet te benutten. Alleen kan je nooit veilig genoeg zijn. Daar was dat bitcoin debacle de vorige keer bewijs van.
En is dit nu een Linux probleem of zijn andere Unix achtige systemen kwetsbaar?
Nee het is een Samba probleem. Samba is onafhankelijke software dat weliswaar wel vaak op Linux systemen geïnstalleerd staat, het wordt immers vaak bij een distributie bijgeleverd. In principe is elk *nix systeem dat samba bevat kwetsbaar.
Dus klopt er weer niets van het Tweakers bericht: "De ontwikkelaars achter Samba, de software die in Linux wordt gebruikt voor filesharing"

Alsof alleen nog maar Linux bestaat... |:(
Unix word een stuk minder gebruikt dan Linux. Eigenlijk is Linux ook een soort Unix.

Ik vind het trouwens wel raar dat je root code kan uitvoeren met Samba, het hoort toch op een aparte user te draaien?
Wat dacht je van FreeNAS en de hele FreeBSD? En nee Linux is niet een soort Unix maar dat is een andere discussie :)
Om shares te maken van directories die geowned zijn door allerlei gebruikers, moet Samba natuurlijk rechten op die directories hebben. Men zou een gebruiker kunnen gebruiken die in een groep "sharers" hoort en dan de shares van de gebruikers groeprechten geven en aan de groep "sharers" koppelen. Maar dat is redelijk omslachtig (en fragiel: wat als de gebruiker die groeprechten wijzigt en daarna niet begrijpt waarom zijn share niet meer werkt).

Ik zie meer heil in lightweight containers waar met systemd binnenkort mogelijkheden zijn. Dan zouden we per directory rechten aan de lightweight container kunnen toekennen, en samba in een container draaien in haar eigen userspace land. Als je daar root op hebt dan zijn alle shares geaffecteerd en de container. Maar die container draaien we in een copy on write FS dat we telkens eenvoudigweg rollbacken. Dus dan samba('s container) herstarten en de inbraak is verdwenen (de shared directories blijven natuurlijk geexposed geweest). Dit lost het probleem niet op; enkel de bug herstellen in de code doet dat. Maar het contained het probleem.

Een ander idee is om per gebruiker een Samba daemon te draaien die de shares van die gebruiker serveert. Maar dan heb je nog steeds een daemon nodig die alles op één TCP poort zet en dat distribueert naar de per-user daemons. Dat laatste is misschien een goede tijdelijke oplossing tot die containers er zijn. Moderne diensten op een Linux desktop werken op deze manier: zo goed als alle D-Bus services zijn ontworpen om per user te draaien onder de user als owner van het process (de session bus is per user/sessie, de system bus is per systeem).

Hup aan de slag: refactor het! (het is opensource) :-)

[Reactie gewijzigd door freaxje op 2 augustus 2014 20:53]

Tsja. t blijft natuurlijk wel zo dat samba niet iets is voor op t internet, maar op t interne netwerk. Als je windows filesharing gebruikt over het internet is er denk iets mis met je setup.
zal je verbazen hoeveel netbios zooi (o.a. poort 137, 138, 139) er nog langskomt bij hosted root / virtuele servers
Nou dat word weer effe compileren dan, het kost een kwartiertje maar dan heb je ook wat.
Ik vraag me wel af hoe kritiek dit is, de kans dat iemand hier misbruik van kan maken is best klein volgens mij.

[Reactie gewijzigd door Bjornmeijer935 op 1 augustus 2014 23:02]

Scholen, bedrijven maken gebruik van SAMBA.
Er hoeft maar 1 scriptkiddy daar rond te lopen en ze zijn de pineut.
root-code = code rood
En hoe kan je dit toepassen op een ubuntu server? bij mij komt die niet hoger als 4.1.6 met een apt-get update.
Daarnaast zijn er voor oudere versies ook patches beschikbaar gekomen.
Voor de huidige ubuntu versie van Samba is er een update:
samba (2:4.1.6+dfsg-1ubuntu2.14.04.3) trusty-security; urgency=medium

* SECURITY UPDATE: remote code execution on unauthenticated nmbd
- debian/patches/CVE-2014-3560.patch: fix unstrcpy in
lib/util/string_wrappers.h.
- CVE-2014-3560

-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Fri, 01 Aug 2014 17:57:10 -0400

[Reactie gewijzigd door 7o9 op 2 augustus 2014 06:14]

Vanochtend even handmatig geapt-get update en Ubuntu desktop heeft hem er zo te zien tussen staan.
Een bug is gevonden, en gedicht, dat is goed nieuws!

Waarom doet iedereen zo negatief bij een bericht dat er een lek is gedicht?
Ook de titel die door Tweakers aan het stuk wordt gegeven is behoorlijk suggestief.

Elk stuk software heeft "last van" bugs. Het is niet dat Samba nu ineens slecht is oid...
Nee, maar het is een kritieke bug; moet gepatched worden.
Daarom wordt het op deze manier onder de aandacht gebracht
offtopic:
't Is ook niet dat er staat: "in de crapware Samba is alweer een kritieke bug gevonden".
'k Vind de titel wat dat betreft redelijk neutraal
Het scheelt dat in de meeste netwerken SMB niet naar het internet openstaat.
Het vervelende is dat in steeds meer netwerken het gebruik van privé-devices wordt toegestaan. BYOD is hot; je hebt dus geen idee welke potentieel gevaarlijke software daar op mee komt.
^ dit.

BYOD is vanuit security oogpunt het slechtste idee in minstens dertig jaar. En toch gaat het maar door, omdat de users het zo makkelijk vinden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True