Vijf-jarige fout zou kunnen beïnvloeden Linux, Mac

-update Patches zijn vrijgegeven voor file-netwerkprotocol software, Samba, waaruit blijkt dat de software, die op grote schaal wordt gebruikt in Mac en Linux, onderworpen aan een kritieke kwetsbaarheid voor vijf jaar is geweest.

(Ik ben Organized afbeelding door stopnlook, CC BY 2.0)

Het beveiligingsadvies vrijgegeven door het Samba-team blijkt dat de kwetsbaarheid maakt het mogelijk voor een externe, niet-geverifieerde gebruiker een speciaal vervaardigde remote procedure call die meerdere buffer overflows in de Samba-server zal creëren sturen. Dit zou een kwaadwillende gebruiker de dienst crash, of eventueel uitvoeren van willekeurige code met root privileges.

De meest recente stabiele versie van Samba voorafgaand aan de patch, versie 3.6.3, is vatbaar voor de kwetsbaarheid, ondanks de slechts worden vrijgegeven aan het einde van januari van dit jaar, en oudere versies zo ver terug als 3.0.25 worden ook beïnvloed. Hoewel de adviserende staten die versies terug naar 3.0.x zijn kwetsbaar, heeft Samba inzender Jelmer Vernooij verduidelijkt dat de kwestie alleen gaat terug tot 3.0.25. Gezien het feit dat 3.0.25 werd uitgebracht in mei 2007 zou dit betekenen dat de kwetsbaarheid aanwezig is geweest voor vijf jaar.

De software zelf maakt het mogelijk bestand en print services worden gedeeld tussen computers met behulp van de SMB / CIFS-protocol (de “SMB” zijn waaruit Samba dankt zijn naam), en wordt meestal vereist als gebruikers willen bestanden tussen verschillende besturingssystemen zoals Linux te delen / Unix en Windows.

Samba is in vrijwel alle distributies van Linux, waardoor het besturingssysteem kwetsbaar voor aanvallen heeft, ook als deze wordt uitgevoerd. Red Hat, die enterprise ondersteuning biedt voor zijn versie van Linux, is ook krabbelde een update om de kwestie te produceren.

Linux wordt ook gebruikt in een aantal media en bestandsdeling apparaten en het kan zijn dat Samba-netwerk opslagapparaten, of zelfs televisietoestellen geïnstalleerd ter vergemakkelijking bestanden tussen hen en Windows-systemen.

Trustwave SpiderLabs waarschuwde dat deze installaties niet zou kunnen worden opgelapt: “Samba is overal dat Linux Heb je een NAS-apparaat op uw netwerk met een embedded Linux-server U hebt waarschijnlijk Samba, en kunt u waarschijnlijk niet updaten, sinds die tijd.? het is ingebed. ”

Enterprise Software;? OpenOffice is dood. Lang leve LibreOffice; Open Onetime MS Office challenger OpenOffice:? We kunnen stilgelegd als gevolg van afnemende ondersteuning; Cloud, Red Hat is van plan nog steeds op dat de OpenStack vennootschap; opslag; Facebook open bronnen ZStandard data compressie-algoritme, is bedoeld om de technologie te vervangen achter Zip

Apple besturingssysteem ook zijn wortels in Unix en, als gevolg, ook kwetsbaar als Samba server wordt gebruikt. Kwetsbare versies van de Samba-server opgenomen Server 10.2 / Jaguar Server en Server 10.3 / Panther Server.

De Samba-team biedt momenteel ondersteuning voor 3.6.x, 3.5.x en 3.4.x versies van Samba, en heeft patches uitgebracht voor deze versies als vanzelfsprekend, maar als gevolg van hoe ernstig het probleem is, het heeft ook patches voor alle versies van Samba 3.0.37 verder, ook al zijn ze momenteel niet op steun. Gebruikers moeten updaten naar 3.6.4, 3.5.14 of 3.4.16 om zich te beschermen tegen de kwetsbaarheid, maar als ze niet in staat zijn, intermediaire maatregelen bestaan ​​om alleen wit-beursgenoteerde klanten aan te sluiten. De Samba-team geeft toe dat deze oplossing is geen permanente oplossing, echter, waarin staat dat de klant adressen eenvoudig kunnen worden vervalst.

De ontdekker van de kwetsbaarheid, Brian Gorenc, die ook werkt op Hewlett-Packard TippingPoint Digital Vaccine Laboratories groep, waarschuwde de Samba-team van het probleem, en op voorwaarde dat de organisatie met werkende proof of concept code. Terwijl hij zijn code niet publiekelijk heeft vrijgegeven, zinspeelt hij op Twitter dat de gebruikers in staat zijn om het uit het beveiligingslek te misbruiken door te kijken naar de patches. Daarnaast SpiderLabs beweert dat een “high-quality” proof of concept is vrijgelaten in het wild, en dat maakt het misbruik van dit lek zo simpel als wijzen en klikken.

Bijgewerkt op 10:41, 12 april 2012: toegevoegd verduidelijking door Jelmer Vernooij.

? OpenOffice is dood. Lang leve LibreOffice

Onetime MS Office challenger OpenOffice: We kunnen stilgelegd als gevolg van afnemende steun

? Red Hat is van plan nog steeds op dat de OpenStack bedrijf

Facebook open bronnen ZStandard data compressie-algoritme, is bedoeld om de technologie te vervangen achter Zip