[Sarlug] Fw: [security-announce] IA: new samba-2.x packages available

Евгений В. Хорохорин horohorinev at mail.ru
Sun Mar 16 00:54:53 MSK 2003 

Begin forwarded message:

Date: Sat, 15 Mar 2003 20:09:52 +0300
From: ALT Security Team <security at altlinux.com>
To: ALT Linux security announce list <security-announce-submit at altlinux.ru>
Subject: [security-announce] IA: new samba-2.x packages available


Специалисты из SuSE Security Audit Team, и в частности Себастьян Крамер
<krahmer at suse.de>, обнаружили уязвимость в коде главного компонента Samba
- демона smbd. Эта уязвимость позволяет внешнему злоумышленнику удалённо
и анонимно получить права суперпользователя на сервере под управлением
Samba.

Эта уязвимость существует во всех версиях Samba, с 2.0.x до 2.2.7a
включительно. Она является серьёзной проблемой и мы рекомендуем либо
незамедлительно обновиться до Samba 2.2.8, либо предотвратить доступ к
портам 139 и 445 на сервере. Ниже приводится набор советов, подготовленный
Andrew Tridgell, лидером Samba Team, о том, как защитить сервер Samba без
приложенного исправления уязвимости до момента установки обновлённой
версии. Следует понимать, что установка новой версии обязательна и все
приведённые ниже меры лишь помогут уменьшить возможность угрозы, но не
предотвратить её.

Протокол SMB/CIFS, который реализован в Samba, в силу своей природы изначально
подвержен многим атакам, даже без учёта конкретных известных уязвимостей в
реализации. Порт TCP 139 и новый порт 445, используемый в том числе Win2K и
Samba 3.0, никогда не должны быть доступны для незащищённых сетей.

Описание
--------

В коде пересборки фрагментов пакетов SMB/CIFS протокола обнаружено
переполнение буфера при некоторых определённых условиях, которое может
привести к тому, что атакующий злоумышленник может вызвать перезапись
произвольных областей памяти в адресном пространстве демона smbd. Это
может позволить злоумышленнику внедрить в исполняемый процесс произвольный
машинный код.

Эта версия Samba 2.2.8 содержит специальные проверки на переполнение
буфера в коде пересборки фрагментов пакетов SMB/CIFS с целью недопущения
неразрешённых операций при восстановлении фрагментированных пакетов.

Дополнительно, эти же проверки были добавлены и в соответствующий код в
клиентской части Samba, что делает безопасным использование клиентских
утилит в других службах.

Благодарности
-------------

Эта уязвимость в безопасности была обнаружена и сообщена Samba Team
Себастьяном Крамером <krahmer at suse.de> из SuSE Security Audit Team.
Исправление было подготовлено Jeremy Allison и подвергнуто дополнительному
анализу инженерами из Samba Team, SuSE, HP, SGI, Apple и сотрудниками
соответствующих подразделений производителей Linux, подписанных на
рассылку Linux Vendor security.

Samba Team хотела бы выразить свою благодарность SuSE и лично Себастьяну
Крамеру за отличную работу по аудиту и за обращение внимания к описанной
выше уязвимости.

Защита уязвимого сервера Samba
------------------------------

Samba Team, Март 2003.

В этой заметке рассказывается о том, как обеспечить определённую защиту
против недавно обнаруженной уязвимости в безопасности в том случае, если
вы не можете немедленно обновить Samba. Даже если обновление проведено,
предложения, описанные в данной заметке, могут помочь увеличить степень
защищённости обслуживаемой системы.

Защита с использованием ограничения доступа по узлам
----------------------------------------------------

Во многих системных конфигурациях основная опасность исходит из-за
пределов внутренней сети. По умолчанию Samba принимает соединения от
любого сетевого узла. Это означает, что если уязвимая версия Samba
запущена на узле. непосредственно подключённом к Интернет, вероятность
взлома возрастает многократно.

Одним из простейших способов защиты в данном случае может быть
использование опций-ограничителей 'hosts allow' и 'hosts deny' в smb.conf.
Их задача -- ограничить доступ к серверу чётко ограниченным списком
сетевых узлов. Пример:

hosts allow = 127.0.0.1 192.168.2.0/24 192.168.3.0/24
hosts deny = 0.0.0.0/0

Приведённый выше пример позволяет SMB соединения только с локальной
машины (самого сервера) и из двух приватных сетей 192.168.2 и
192.168.3. Все остальные соединения будут отвергнуты как только клиент
отправит свой первый пакет серверу. Отказ в обслуживании будет отмечен
сообщением об ошибке 'not listening on called name'.

Защита посредством ограничения интерфейсов
------------------------------------------

По умолчанию Samba принимает соединения на любом сетевом интерфейсе,
активизированном на сервере. Это означает, что если сервер имеет ISDN или
PPP соединение с Интернет, то Samba будет принимать запросы по этим
соединениям.

Это поведение можно изменить с использованием опций 'interfaces' и
'bind interfaces only'. Пример:

interfaces = eth* lo
bind interfaces only = yes

Приведённый выше пример ограничивает Samba соединениями на интерфейсах,
чьи названия начинаются с eth, например, eth0, eth1, а так же локальным
интерфейсом lo. Конкретные имена интерфейсов зависят от типов используемых
физических соединений и операционных систем. Приведённые выше названия
интерфейсов соответствуют интерфейсам сети Ethernet для систем на базе
Linux.

Если Samba настроена указанным выше образом и кто-то пытается осуществить
SMB-соединение с сервером посредством интерфейса PPP с именем 'ppp0', то
злоумышленник получит ответ с отказом незамедлительно. В этом случае
никакой код внутри Samba не будет запущен, так как этот отказ будет
сгенерирован операционной системой.

Использование межсетевого экрана
--------------------------------

Многие системные администраторы используют межсетевые экраны для
ограничения доступа к определённым службам, которые не должны быть
видимы за пределами локальной сети. Это хороший способ защиты, однако
его можно рекомендовать все же в сочетании с перечисленными выше
методами, для обеспечения дополнительной степени защиты в случае
неактивности межсетевого экрана в некоторый момент времени по
какой-либо причине.

Samba использует следующие TCP и UDP порты, которые необходимо
разрешить для внутренней сети и заблокировать для внешней:

UDP/137	  -   демон nmbd
UDP/138	  -   демон nmbd
TCP/139	  -   демон smbd
TCP/445	  -   демон smbd

Последний порт особенно важен, так как многие старые межсетевые экраны
могут не содержать правил, блокирующих его, поскольку этот порт был
добавлен в протокол SMB/CIFS только в последние несколько лет.

Использование запрета доступа к ресурсу IPC$
--------------------------------------------

Если перечисленные выше методы не подходят, можно также запретить доступ
специальному ресурсу IPC$, используемому в описанной выше уязвимости в
безопасности. Это позволяет по-прежнему предоставлять доступ к другим
ресурсам при одновременном запрете доступа к служебному ресурсу IPC$ со
стороны потенциально опасных сетей.

Для этого необходимо настроить Samba следующим образом:

[ipc$]
	hosts allow = 192.168.115.0/24 127.0.0.1
	hosts deny = 0.0.0.0/0

Эта конфигурация позволит Samba принимать обращения к IPC$ только из двух
указанных выше сетевых ресурсов (локального узла и локальной подсети
192.168.115). Доступ к другим ресурсам будет по-прежнему возможен согласно
общим настройкам. Поскольку IPC$ является единственным всегда доступным
анонимно ресурсом, то такая конфигурация позволяет обеспечить определённый
уровень защиты от злоумышленников, не обладающих сведениями о именах
пользователей и их паролях для защищаемого сервера.

Если используется этот метода, то клиенты будут получать сообщение 'access
denied' (доступ запрещён) при попытке обратиться к ресурсу IPC$. Это
означает, что эти клиенты не будут иметь возможности просматривать список
обслуживаемых ресурсов и, возможно, не будут иметь доступ и к некоторым
другим ресурсам.

Этот метод не является рекомендованным и может быть применён только в том
случае, если ни один из вышеперечисленных методов не может быть
использован по каким-то административным причинами.
----------------------------------------------------------------------

Обновления для дистрибутивов ALT Linux доступны по следующим адресам:

+ Для дистрибутива Linux-Mandrake RE Spring 2001:
В процессе подготовки; будет доступно несколько позднее.

+ Для бета-версии дистрибутива ALT Linux Castle:
В процессе подготовки; будет доступно несколько позднее.

+ Для дистрибутива ALT Linux Master 2.0 и дистрибутивов, выпущенных на его
основе:
ftp://updates.altlinux.com/Master/2.0/SRPMS/samba-2.2.8-alt0.1.src.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-client-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-client-cups-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-client-devel-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-client-devel-static-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-common-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-doc-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-swat-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-vfs-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/samba-vfs-devel-2.2.8-alt0.1.i586.rpm

+ Для дистрибутива ALT Linux Junior 2.0 и дистрибутивов, выпущенных на его
основе:
ftp://updates.altlinux.com/Junior/2.0/SRPMS/samba-2.2.8-alt0.1.src.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-client-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-client-cups-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-common-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-vfs-2.2.8-alt0.1.i586.rpm
ftp://updates.altlinux.com/Junior/2.0/i586/RPMS/samba-vfs-devel-2.2.8-alt0.1.i586.rpm

+ Для дистрибутива ALT Linux Master 2.2:
ftp://updates.altlinux.com/Master/2.2/SRPMS.updates/samba-2.2.8-alt1.src.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-client-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-client-cups-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-client-devel-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-client-devel-static-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-common-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-doc-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-swat-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-vfs-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Master/2.2/i586/RPMS.updates/samba-vfs-devel-2.2.8-alt1.i586.rpm

+ Для дистрибутива ALT Linux Junior 2.2:
ftp://updates.altlinux.com/Junior/2.2/SRPMS.updates/samba-2.2.8-alt1.src.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-client-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-client-cups-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-client-devel-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-common-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-vfs-2.2.8-alt1.i586.rpm
ftp://updates.altlinux.com/Junior/2.2/i586/RPMS.updates/samba-vfs-devel-2.2.8-alt1.i586.rpm

+ Для пользователей репозитория ALT Linux Sisyphus обновления доступны обычным образом.

О готовности обновления для экспериментальной версии samba-3.0alpha будет 
сообщено отдельно.

Пользователям дистрибутивов Linux-Mandrake RE Spring 2001 и бета-версии
дистрибутива ALT Linux Castle рекомендуется переходить на
ALT Linux Master 2.x

Обновление можно проводить с помощью apt-get, как по адресам,
приведённым выше, так и по адресам зеркал, приведённых по адресу
http://www.altlinux.ru/index.php?module=download


--
ALT Security Team



-- 
Best regards,				mailto: genix at sendmail.ru
		Genix			http://saratov.lug.ru
Registered Linux User #219993		JID: genix at jabber.org

	-= С моих слов записано верно, мною прочитано =-

More information about the Sarlug mailing list