[security-announce] IA: new samba-2.x packages available
ALT Security Team
=?iso-8859-1?q?security_=CE=C1_altlinux=2Ecom?=
Сб Мар 15 20:09:52 MSK 2003
Специалисты из SuSE Security Audit Team, и в частности Себастьян Крамер
<krahmer на suse.de>, обнаружили уязвимость в коде главного компонента Samba
- демона smbd. Эта уязвимость позволяет внешнему злоумышленнику удалённо
и анонимно получить права суперпользователя на сервере под управлением
Samba.
Эта уязвимость существует во всех версиях Samba, с 2.0.x до 2.2.7a
включительно. Она является серьёзной проблемой и мы рекомендуем либо
незамедлительно обновиться до Samba 2.2.8, либо предотвратить доступ к
портам 139 и 445 на сервере. Ниже приводится набор советов, подготовленный
Andrew Tridgell, лидером Samba Team, о том, как защитить сервер Samba без
приложенного исправления уязвимости до момента установки обновлённой
версии. Следует понимать, что установка новой версии обязательна и все
приведённые ниже меры лишь помогут уменьшить возможность угрозы, но не
предотвратить её.
Протокол SMB/CIFS, который реализован в Samba, в силу своей природы изначально
подвержен многим атакам, даже без учёта конкретных известных уязвимостей в
реализации. Порт TCP 139 и новый порт 445, используемый в том числе Win2K и
Samba 3.0, никогда не должны быть доступны для незащищённых сетей.
Описание
--------
В коде пересборки фрагментов пакетов SMB/CIFS протокола обнаружено
переполнение буфера при некоторых определённых условиях, которое может
привести к тому, что атакующий злоумышленник может вызвать перезапись
произвольных областей памяти в адресном пространстве демона smbd. Это
может позволить злоумышленнику внедрить в исполняемый процесс произвольный
машинный код.
Эта версия Samba 2.2.8 содержит специальные проверки на переполнение
буфера в коде пересборки фрагментов пакетов SMB/CIFS с целью недопущения
неразрешённых операций при восстановлении фрагментированных пакетов.
Дополнительно, эти же проверки были добавлены и в соответствующий код в
клиентской части Samba, что делает безопасным использование клиентских
утилит в других службах.
Благодарности
-------------
Эта уязвимость в безопасности была обнаружена и сообщена Samba Team
Себастьяном Крамером <krahmer на suse.de> из SuSE Security Audit Team.
Исправление было подготовлено Jeremy Allison и подвергнуто дополнительному
анализу инженерами из Samba Team, SuSE, HP, SGI, Apple и сотрудниками
соответствующих подразделений производителей Linux, подписанных на
рассылку Linux Vendor security.
Samba Team хотела бы выразить свою благодарность SuSE и лично Себастьяну
Крамеру за отличную работу по аудиту и за обращение внимания к описанной
выше уязвимости.
Защита уязвимого сервера Samba
------------------------------
Samba Team, Март 2003.
В этой заметке рассказывается о том, как обеспечить определённую защиту
против недавно обнаруженной уязвимости в безопасности в том случае, если
вы не можете немедленно обновить Samba. Даже если обновление проведено,
предложения, описанные в данной заметке, могут помочь увеличить степень
защищённости обслуживаемой системы.
Защита с использованием ограничения доступа по узлам
----------------------------------------------------
Во многих системных конфигурациях основная опасность исходит из-за
пределов внутренней сети. По умолчанию Samba принимает соединения от
любого сетевого узла. Это означает, что если уязвимая версия Samba
запущена на узле. непосредственно подключённом к Интернет, вероятность
взлома возрастает многократно.
Одним из простейших способов защиты в данном случае может быть
использование опций-ограничителей 'hosts allow' и 'hosts deny' в smb.conf.
Их задача -- ограничить доступ к серверу чётко ограниченным списком
сетевых узлов. Пример:
hosts allow = 127.0.0.1 192.168.2.0/24 192.168.3.0/24
hosts deny = 0.0.0.0/0
Приведённый выше пример позволяет SMB соединения только с локальной
машины (самого сервера) и из двух приватных сетей 192.168.2 и
192.168.3. Все остальные соединения будут отвергнуты как только клиент
отправит свой первый пакет серверу. Отказ в обслуживании будет отмечен
сообщением об ошибке 'not listening on called name'.
Защита посредством ограничения интерфейсов
------------------------------------------
По умолчанию Samba принимает соединения на любом сетевом интерфейсе,
активизированном на сервере. Это означает, что если сервер имеет ISDN или
PPP соединение с Интернет, то Samba будет принимать запросы по этим
соединениям.
Это поведение можно изменить с использованием опций 'interfaces' и
'bind interfaces only'. Пример:
interfaces = eth* lo
bind interfaces only = yes
Приведённый выше пример ограничивает Samba соединениями на интерфейсах,
чьи названия начинаются с eth, например, eth0, eth1, а так же локальным
интерфейсом lo. Конкретные имена интерфейсов зависят от типов используемых
физических соединений и операционных систем. Приведённые выше названия
интерфейсов соответствуют интерфейсам сети Ethernet для систем на базе
Linux.
Если Samba настроена указанным выше образом и кто-то пытается осуществить
SMB-соединение с сервером посредством интерфейса PPP с именем 'ppp0', то
злоумышленник получит ответ с отказом незамедлительно. В этом случае
никакой код внутри Samba не будет запущен, так как этот отказ будет
сгенерирован операционной системой.
Использование межсетевого экрана
--------------------------------
Многие системные администраторы используют межсетевые экраны для
ограничения доступа к определённым службам, которые не должны быть
видимы за пределами локальной сети. Это хороший способ защиты, однако
его можно рекомендовать все же в сочетании с перечисленными выше
методами, для обеспечения дополнительной степени защиты в случае
неактивности межсетевого экрана в некоторый момент времени по
какой-либо причине.
Samba использует следующие TCP и UDP порты, которые необходимо
разрешить для внутренней сети и заблокировать для внешней:
UDP/137 - демон nmbd
UDP/138 - демон nmbd
TCP/139 - демон smbd
TCP/445 - демон smbd
Последний порт особенно важен, так как многие старые межсетевые экраны
могут не содержать правил, блокирующих его, поскольку этот порт был
добавлен в протокол SMB/CIFS только в последние несколько лет.
Использование запрета доступа к ресурсу IPC$
--------------------------------------------
Если перечисленные выше методы не подходят, можно также запретить доступ
специальному ресурсу IPC$, используемому в описанной выше уязвимости в
безопасности. Это позволяет по-прежнему предоставлять доступ к другим
ресурсам при одновременном запрете доступа к служебному ресурсу IPC$ со
стороны потенциально опасных сетей.
Для этого необходимо настроить Samba следующим образом:
[ipc$]
hosts allow = 192.168.115.0/24 127.0.0.1
hosts deny = 0.0.0.0/0
Эта конфигурация позволит Samba принимать обращения к IPC$ только из двух
указанных выше сетевых ресурсов (локального узла и локальной подсети
192.168.115). Доступ к другим ресурсам будет по-прежнему возможен согласно
общим настройкам. Поскольку IPC$ является единственным всегда доступным
анонимно ресурсом, то такая конфигурация позволяет обеспечить определённый
уровень защиты от злоумышленников, не обладающих сведениями о именах
пользователей и их паролях для защищаемого сервера.
Если используется этот метода, то клиенты будут получать сообщение 'access
denied' (доступ запрещён) при попытке обратиться к ресурсу IPC$. Это
означает, что эти клиенты не будут иметь возможности просматривать список
обслуживаемых ресурсов и, возможно, не будут иметь доступ и к некоторым
другим ресурсам.
Этот метод не является рекомендованным и может быть применён только в том
случае, если ни один из вышеперечисленных методов не может быть
использован по каким-то административным причинами.
----------------------------------------------------------------------
Обновления для дистрибутивов ALT Linux доступны по следующим адресам:
+ Для дистрибутива Linux-Mandrake RE Spring 2001:
В процессе подготовки; будет доступно несколько позднее.
+ Для бета-версии дистрибутива ALT Linux Castle:
В процессе подготовки; будет доступно несколько позднее.
+ Для дистрибутива ALT Linux Master 2.0 и дистрибутивов, выпущенных на его
основе:
ftp://updates.altlinux.com/Master/2.0/SRPMS/samba-2.2.8-alt0.1.src.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-client-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-client-cups-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-client-devel-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-client-devel-static-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-common-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-doc-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-swat-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-vfs-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-vfs-devel-2.2.8-alt0.1.i586.rpm
+ Для дистрибутива ALT Linux Junior 2.0 и дистрибутивов, выпущенных на его
основе:
ftp://updates.altlinux.com/Junior/2.0/SRPMS/samba-2.2.8-alt0.1.src.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-client-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-client-cups-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-common-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-vfs-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-vfs-devel-2.2.8-alt0.1.i586.rpm
+ Для дистрибутива ALT Linux Master 2.2:
ftp://updates.altlinux.com/Master/2.2/SRPMS.updates/samba-2.2.8-alt1.src.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-client-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-client-cups-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-client-devel-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-client-devel-static-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-common-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-doc-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-swat-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-vfs-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-vfs-devel-2.2.8-alt1.i586.rpm
+ Для дистрибутива ALT Linux Junior 2.2:
ftp://updates.altlinux.com/Junior/2.2/SRPMS.updates/samba-2.2.8-alt1.src.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-client-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-client-cups-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-client-devel-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-common-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-vfs-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-vfs-devel-2.2.8-alt1.i586.rpm
+ Для пользователей репозитория ALT Linux Sisyphus обновления доступны обычным образом.
О готовности обновления для экспериментальной версии samba-3.0alpha будет
сообщено отдельно.
Пользователям дистрибутивов Linux-Mandrake RE Spring 2001 и бета-версии
дистрибутива ALT Linux Castle рекомендуется переходить на
ALT Linux Master 2.x
Обновление можно проводить с помощью apt-get, как по адресам,
приведённым выше, так и по адресам зеркал, приведённых по адресу
http://www.altlinux.ru/index.php?module=download
--
ALT Security Team
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/security-announce/attachments/20030315/46926470/attachment-0003.bin>
Подробная информация о списке рассылки Security-announce