Nuovo allarme di sicurezza in Samba

Il team di sviluppo di Samba ha rilasciato una patch che corregge una grave falla di sicurezza, la seconda nel giro di un mese, giÓ sfruttata da alcuni cracker per violare alcuni sistemi. Nuovo giro di patch

Roma - A poche settimane di distanza dalla scoperta di una grave vulnerabilitÓ di sicurezza nel proprio software, il team di sviluppo di Samba - una nota suite di programmi open source che fornisce servizi di condivisione di file e stampanti fra sistemi Windows e sistemi Linux/Unix - Ŕ stato obbligato ad una nuova corsa contro il tempo per rilasciare una patch che va a correggere una nuova e minacciosa falla.

Secondo un advisory pubblicato da Digital Defense, la societÓ di sicurezza che ha scoperto il problema, un aggressore potrebbe sfruttare il bug - un buffer overflow - per guadagnare l'accesso al sistema con privilegi di root. Tutte le versioni di Samba, inclusa la 2.2.8, sono vulnerabili. Le versioni di sviluppo alpha di Samba 3.0 sono invece esenti dal problema.

Ad aggravare la situazione c'Ŕ il fatto che, secondo Digital Defense, la vulnerabilitÓ era giÓ stata sfruttata da alcuni cracker per tentare di penetrare all'interno di alcuni sistemi.
"Raccomandiamo agli utenti di Samba di verificare che sui propri server Samba non vi siano segni di una eventuale intrusione", si legge nell'advisory di Digital Defense. "Samba e Digital Defense hanno deciso di rilasciare i loro avvisi prima che i vendor abbiano avuto la possibilitÓ di aggiornare i propri pacchetti a causa del fatto che la vulnerabilitÓ Ŕ giÓ stata attivamente sfruttata".

Secondo quanto dichiarato da Jeremy Allison, co-autore di Samba, questa vulnerabilitÓ Ŕ rimasta nascosta nel codice del software per sette od otto anni.

Nel processo di identificazione della falla il team di Samba ha scoperto altri tre bug di minore entitÓ, tutti corretti con il rilascio di alcune patch scaricabili dal sito del software o fornite da terze parti.
77 Commenti alla Notizia Nuovo allarme di sicurezza in Samba
Ordina
  • Cioe' diciamolo sinceramente .. il baco e' molto grave .. ma chi lascia su sistemi linux la porta 139 aperta al mondo intero ??
    che utilita' ha ? ... se anche ti serve usare le condivisioni .. in locale .. abbi la decenza di aprirle solo x una sottoclasse di ip .. oppure se devi accederci da esterno .. fallo con un tunnell shh ..

    iptables usato in combo con shh .. ti permette di creare una soluzione .. x ogni necessita' ...
    non+autenticato
  • ovviamnete ssh nn shh Occhiolino ..
    non+autenticato

  • - Scritto da: Anonimo
    > ovviamnete ssh nn shh Occhiolino ..

    E' uggguale ....
    dubito che il 90% dei commentatori di PI ,
    sappia cosa e' una connessione ssh ...
    o il PPTP ....
    o cosa significhi lasciare una porta aperta .....
    o sappia qualcosa del NAT


    o che le problematiche legate alle violazioni di accesso in SAMBA siano le stesse che affliggono i server Microsoft


    che la violazione di un server nel 50% dei casi e' da imputare alla scarsa competenza di un amministratore
    che il restante 49,99% e' da imputare alla malafede o alla negligenza dell'amministratore stesso
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > ovviamnete ssh nn shh Occhiolino ..
    >
    > E' uggguale ....
    > dubito che il 90% dei commentatori di PI ,
    > sappia cosa e' una connessione ssh ...
    > o il PPTP ....
    > o cosa significhi lasciare una porta aperta
    > .....
    > o sappia qualcosa del NAT
    >
    >
    > o che le problematiche legate alle
    > violazioni di accesso in SAMBA siano le
    > stesse che affliggono i server Microsoft

    ma dove SAMBA e tutta farina del vostro sacco linari quindi
    lasciate stare win che in quanto a sicurezza e una roccia
    >
    > che la violazione di un server nel 50% dei
    > casi e' da imputare alla scarsa competenza
    > di un amministratore
    > che il restante 49,99% e' da imputare alla
    > malafede o alla negligenza
    > dell'amministratore stesso

    ma come il vermetto che insidiava sqlserver era una ca***** di MS (problema paccato da mesi e mesi) mentre un bucone apre i glutei al vostro linuzzo e si tira in ballo l'amministratore

    linari ve prego coerenza, il vostro sistema e insicuro come o più del nostro, ma mentre win e semplice da amministrare con linuzzu anche un guro puo incappare oltre che nel buco anche in errori di configurazione.
    non+autenticato
  • - Scritto da: Anonimo

    > ma dove SAMBA e tutta farina del vostro
    > sacco linari quindi
    > lasciate stare win che in quanto a sicurezza
    > e una roccia

    Uhuhuhuh! Bella questa! Dovevo ancora sentirla! Me la scrivo...
    Per quanto ne so, il protocollo smb è quello usato da windows... ed è per quello che il programma si chiama samba...

    > ma come il vermetto che insidiava sqlserver
    > era una ca***** di MS (problema paccato da
    > mesi e mesi) mentre un bucone apre i glutei
    > al vostro linuzzo e si tira in ballo
    > l'amministratore

    No, lui ha detto che spesso è colpa dell'amministratore, che non gliene frega niente delle patch e robe varie...

    > linari ve prego coerenza, il vostro sistema
    > e insicuro come o più del nostro, ma mentre
    > win e semplice da amministrare con linuzzu
    > anche un guro puo incappare oltre che nel
    > buco anche in errori di configurazione.

    Tirami fuori un non-utonto che abbia detto questa cose...
    Di "guro" poi non se ne vedono più tanti come una volta. Ah! non ci sono più i "guro" di una volta... Sorride

    Regards,

    Stevie
  • Ma SMB non e' "router-abile", o sbaglio? quindi al primo router dovrebbe essere bloccato.
    non+autenticato

  • - Scritto da: Anonimo
    > Ma SMB non e' "router-abile", o sbaglio?
    > quindi al primo router dovrebbe essere
    > bloccato.

    139 è una porta TCP. TCP è trasportato da IP.
    IP mi pare alquanto routabile.

    E poi 135, 137 q 139 fanno parte di quella
    cosa che si chiama NetBios Over TCP/IP.

    Quindi?
    non+autenticato
  • Come si dice dalle mie parti: "Mangiato pane e M?rda"?
    Ho fatto solo un osservazione, condita da un bel "o sbaglio?", scusa tanto.
    Buon appetito comunque.
    non+autenticato

  • - Scritto da: Anonimo
    > Come si dice dalle mie parti: "Mangiato pane
    > e M?rda"?
    > Ho fatto solo un osservazione, condita da un
    > bel "o sbaglio?", scusa tanto.
    > Buon appetito comunque.

    Infatti era per spiegarti dove avevi sbagliato.


    non+autenticato

  • - Scritto da: Anonimo
    > Ma SMB non e' "router-abile", o sbaglio?
    > quindi al primo router dovrebbe essere
    > bloccato.

    Forse quando girava su IPX ... Ora gira su TCP/IP ...
    11237
  • Ma in SAMBA SMB gira solo su TCP?
    Non c'e' modo di implementare una rete con SMB over IPX in linux?
    A prescindere dal fatto che sia utile o meno, consigliabile o meno.

    - Scritto da: Giambo

    > - Scritto da: Anonimo
    > > Ma SMB non e' "router-abile", o sbaglio?
    > > quindi al primo router dovrebbe essere
    > > bloccato.

    > Forse quando girava su IPX ... Ora gira su
    > TCP/IP ...
    non+autenticato
  • che dire altro che sw open nella PA, gia quello closed e pagato alla grande crea casini figuriamoci il sw open fatto da una masnada di bimbini smanettoni che di continuo cambiano e si alternano a ritmo incalzante (rimangono giusto per inserire un buco).

    l'open sogno rimarra tale non ha nessun futuro basta guarzae i siti di security pieni di notifiche di buchi in sw open.
    non+autenticato

  • - Scritto da: Anonimo
    > che dire altro che sw open nella PA, gia
    > quello closed e pagato alla grande crea
    > casini figuriamoci il sw open fatto da una
    > masnada di bimbini smanettoni che di
    > continuo cambiano e si alternano a ritmo
    > incalzante (rimangono giusto per inserire un
    > buco).
    >
    > l'open sogno rimarra tale non ha nessun
    > futuro basta guarzae i siti di security
    > pieni di notifiche di buchi in sw open.

    Sembri un disco rotto.
    non+autenticato

  • - Scritto da: Anonimo


    > l'open sogno rimarra tale

    soprattutto per chi crede di limitarlo

    > non ha nessun
    > futuro

    i win maniac lo ripetono da più di dieci anni (quando nacque Linux, per inciso).

    Fra dieci anni continuerete a dirlo?

    > basta guarzae i siti di security
    > pieni di notifiche di buchi in sw open.

    che però in quantità sono minori dei bug di sicurezza di windows e del resto del software closed.

    Ma anche a parità di numero dei bug, rimane il fatto che Linux e la maggior parte del software open è GRATIS (checché ne dica IBM)

    Chiunque COMPRI windows dovrà continuare a macerarsi nel dubbio del PERCHE' gli abbiano rifilato del software closed che abbia più bug di uno gratuito.

    Da ciò si capisce bene perchè tanti win-maniac ce l'hanno con l'open source: non si vogliono rassegnare all'evidenza di essere stati turlupinati da un monopolio oppressivo, e per scaricarsi la coscinza sminuiscono i prodotti alternativi a quelli stracostosi che hanno dovuto accettare

    Linux rimarrà sempre più conveniente di windows, che dovrà accontentarsi di essere copiato illecitamente per potersi diffondere (palladium permettendo).


    non+autenticato
  • > Ma anche a parità di numero dei bug, rimane
    > il fatto che Linux e la maggior parte del
    > software open è GRATIS (checché ne dica IBM)

    Se general elettrics ti regala una centrale nucleare dovrai pagare qualcuno che te la faccia funzionare... E questo non è gratis. E' questo quello che intende IBM e tutti quelli che dicono che Linux non è gratis. Ovvio, se ti limiti alla distribuzione...

    > Linux rimarrà sempre più conveniente di
    > windows, che dovrà accontentarsi di essere
    > copiato illecitamente per potersi diffondere
    > (palladium permettendo).

    Questo è poco ma sicuro e se veramente il palladium riuscirà ad azzerare la pirateria sicuramente molti apriranno gli occhi...

    Andrea
    non+autenticato
  • > Se general elettrics ti regala una centrale
    > nucleare dovrai pagare qualcuno che te la
    > faccia funzionare... E questo non è gratis.
    > E' questo quello che intende IBM e tutti
    > quelli che dicono che Linux non è gratis.
    > Ovvio, se ti limiti alla distribuzione...
    Ovvio. Linux può essere gratuito (ma può anche essere fatto pagare... è libero), ma i costi di gestione non si possono evitare. Sono presenti con qualsiasi software.
    non+autenticato

  • - Scritto da: Anonimo
    > > Se general elettrics ti regala una
    > centrale
    > > nucleare dovrai pagare qualcuno che te la
    > > faccia funzionare... E questo non è
    > gratis.
    > > E' questo quello che intende IBM e tutti
    > > quelli che dicono che Linux non è gratis.
    > > Ovvio, se ti limiti alla distribuzione...
    > Ovvio. Linux può essere gratuito (ma può
    > anche essere fatto pagare... è libero), ma i
    > costi di gestione non si possono evitare.

    certo, prendi ad esempio la pura sopravvivenza:

    respirare è gratuito, ma mangiare ancora no

    però.. immagina cosa succederebbe al mondo se l'aria fosse A PAGAMENTO

    il mondo sarebbe più o meno vivibile?

    Allo stesso modo, ecco che ora, con Linux e l'open source, nel mondo ICT l'aria si è fatta più respirabile (alla faccia di chi finora vende bottiglie d'aria)



    > Sono presenti con qualsiasi software.
    non+autenticato
  • > respirare è gratuito, ma mangiare ancora no
    >

    maddeche'
    se non mangi non respiri, perche' muori
    ergo, respirare non e' gratis, tanto piu' che per respirare devi bruciare energia che accumuli mangiando

    non+autenticato

  • - Scritto da: Anonimo
    > > respirare è gratuito, ma mangiare ancora
    > no
    > >
    >
    > maddeche'

    stai negando che respirare sia gratuito?

    oppure stai negando che mangiare sia a pagamento?

    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > > respirare è gratuito, ma mangiare
    > ancora
    > > no
    > > >
    > >
    > > maddeche'
    >
    > stai negando che respirare sia gratuito?
    >
    > oppure stai negando che mangiare sia a
    > pagamento?

    gli winmaniac negano qualunque cosa, ma ci sono abituati: basta leggere quello che gli viene negato nelle licenze d'uso (vedi EULA) del software M$$$




    >
    non+autenticato

  • > stai negando che respirare sia gratuito?
    >
    > oppure stai negando che mangiare sia a
    > pagamento?
    >

    entrambi
    semplicemente l'aria non devi produrla ecco perche' CREDI sia gratis
    il cibo comunque devi procurartelo
    anche l'aborigeno che si nutre di radici e selvaggina, deve cacciare o raccogliere cio' che mangia

    respirare e' gratis in senso monetario
    ma anche mangiare puo' esserlo in quel senso
    non+autenticato

  • - Scritto da: Anonimo
    >
    > > stai negando che respirare sia gratuito?
    > >
    > > oppure stai negando che mangiare sia a
    > > pagamento?
    > >
    >
    > entrambi

    ottimo, ecco un'affermazione falsificabile

    dunque tu affermi che per l'aria che respiri è a pagamento e che mangi sempre gratuitamente

    1 - a chi stai pagando per il tuo ultimo respiro che hai fatto?
    2 - dove puoi ottenere cibo gratuito (sempre) ?

    non+autenticato

  • - Scritto da: Anonimo
    > ma come, linux ha delle falle?


    ma Linux non era strafigo,strasicuro, stralunare
    e doveva far scomparire M$?
    non+autenticato
  • > > ma come, linux ha delle falle?
    >
    >
    > ma Linux non era strafigo,strasicuro,
    > stralunare
    > e doveva far scomparire M$?

    Si ne ha, come tutto il software.
    Ma il giorno dopo era già disponibile la patch: questa è la differenza.
    Inoltre essendo gli amministratori *nix mediamente più "informaticamente istruiti", la patch verrà applicata rapidamente a gran parte delle reti, soprattutto quelle più sensibili.
    Fosse accaduto con windows, nonostante vi sia l'update automatico e, in parte, grazie alla risaputa inaffidabilità della patch, fra sei mesi vi sarebbero ancora molti buchi in giro. Sql Hammer docet.
    non+autenticato


  • Ah... il mito del sistemista unix illuminato... ah... la tauromachia...

    - Scritto da: Anonimo
    > > > ma come, linux ha delle falle?
    > >
    > >
    > > ma Linux non era strafigo,strasicuro,
    > > stralunare
    > > e doveva far scomparire M$?
    >
    > Si ne ha, come tutto il software.
    > Ma il giorno dopo era già disponibile la
    > patch: questa è la differenza.
    > Inoltre essendo gli amministratori *nix
    > mediamente più "informaticamente istruiti",
    > la patch verrà applicata rapidamente a gran
    > parte delle reti, soprattutto quelle più
    > sensibili.
    > Fosse accaduto con windows, nonostante vi
    > sia l'update automatico e, in parte, grazie
    > alla risaputa inaffidabilità della patch,
    > fra sei mesi vi sarebbero ancora molti buchi
    > in giro. Sql Hammer docet.
    non+autenticato
  • > Ah... il mito del sistemista unix
    > illuminato... ah... la tauromachia...
    >

    " mediamente più "informaticamente istruiti" "

    non significa che se sei amministratore *nix allora sei un illuminato. Significa che se facciamo un test con quattro domandine di architettura dei calcolatori ad un campione di amministratori *nix e le stesse ad un campione di amministratori win, i primi avranno una media più alta.
    E questo perchè chi maneggia *nix, di solito proviene dall'università, o ha più anni di esperienza.

    Ergo è più probabile (altro concetto molto complicato) che gli amm *nix applichino più in fretta patch o quant'altro sia necessario.
    Quindi è più probabile che in un tempo equivalente per un problema simile in ambiente win, la percentuale di sistemi *nix buggati sia minore di quelli win.

    Amen
    non+autenticato
  • tutte supposizioni che fai tu, senza un briciolo di prove.

    Poi mi spieghi che centra architetture degli elaboratori con samba, linux e lameroni dei sistemisti windows.

    mah..
    non+autenticato
  • Io direi, più semplicemente che i sistemi UNIX costringono l'ut. e sopratutto l'admin ad una maggiore preparazione tecnica.
    Ma questo, oltre ad essere oggettivo, lo sbandiera anche M$ dicendo che i suoi o.s. sono intrensicamente più alla portata di tutti ut. ed admin; anzi è alla base della diffusione dei sistemi win*.
    Che vi sia una percentuale maggiore di admin provenienti, o cmq dentro, l'ambiente accademico tecnico/scientifico, rispetto a win* non è una novità: se si va al CERN, o al Fermilab, o alla NASA, o anche alle univ.: ingegneria, fisica, matematica, etc., ci si accorge di come è preponderante l'uso dei sistemi UNIX. E il fatto che una fetta forte di questo personale utilizzi UNIX, porta all'aumento della percentuale di personale preparato sui sistemi UNIX rispetto ai sistemi win*.

  • - Scritto da: Anonimo
    > > Ah... il mito del sistemista unix
    > > illuminato... ah... la tauromachia...
    > >
    >
    > " mediamente più "informaticamente istruiti"
    > "
    >
    > non significa che se sei amministratore *nix
    > allora sei un illuminato. Significa che se
    > facciamo un test con quattro domandine di
    > architettura dei calcolatori ad un campione
    > di amministratori *nix e le stesse ad un
    > campione di amministratori win, i primi
    > avranno una media più alta.
    > E questo perchè chi maneggia *nix, di solito
    > proviene dall'università, o ha più anni di
    > esperienza.

    La differenza la si vede anche dal fatto che ai winari le cose bisogna ripeterle piu' di una volta ed usando frasi diverse (come hai dovuto fare in questo caso e per l'ennesima volta su questo forum) , senno non le capiscono e postano cose inutili.

    Chesso', forse scrivendo i post in un bel bottone con un'iconetta colorata a fianco e accompagnato da una dlin-dlon rassicurante, i winari leggerebbero qualche parola dei messaggi senza essere terrorizzati da tutto questo testo nero su sfondo bianco !

    Mah !
  • - Scritto da: Anonimo

    > Ah... il mito del sistemista unix
    > illuminato... ah... la tauromachia...

    Faccio notare: ha scritto "mediamente più informaticamente istruiti"

    E comunque la tauromachia (ammeso che tu sappia cosa vuol dire) non c'entra niente...

    gente di un certo livello....


    Regards,

    Stevie

  • - Scritto da: Anonimo
    > > > ma come, linux ha delle falle?
    > >
    > >
    > > ma Linux non era strafigo,strasicuro,
    > > stralunare
    > > e doveva far scomparire M$?
    >
    > Si ne ha, come tutto il software.
    > Ma il giorno dopo era già disponibile la
    > patch: questa è la differenza.
    >
    Il giorno dopo.. ok... dopo 7/8 anni? Sorride

    > Inoltre essendo gli amministratori *nix
    > mediamente più "informaticamente istruiti",
    > la patch verrà applicata rapidamente a gran
    > parte delle reti, soprattutto quelle più
    > sensibili.
    >
    Questa affermazione e' ancora tutta da dimostrare. Forse lo saranno quelli che veramente lo anno visto crescere, ma non credo che i nuovi "RedHat-Like", siano cosi "istruiti', anzi... sono convinto che sono li che aspettano un bellissimo RPM bello che pronto da installare senza nemmeno pensare a quello che stanno facendo.

    > Fosse accaduto con windows, nonostante vi
    > sia l'update automatico e, in parte, grazie
    > alla risaputa inaffidabilità della patch,
    > fra sei mesi vi sarebbero ancora molti buchi
    > in giro. Sql Hammer docet.
    >
    Ripeto... sono trascorsi ben 7/8 anni, durante i quali ne io ne tu possiamo sapere quante volte e' stata sfruttato tale bug.
    non+autenticato

  • - Scritto da: Anonimo

    > Il giorno dopo.. ok... dopo 7/8 anni? Sorride

    Il giorno dopo la loro scoperta... mi pare ovvio
    O forse vuoi dire che la falla di SQL server era conosciuta sin dalla sua prima versione ma la patch e' stata rilasciata solo di recente?


    > Ripeto... sono trascorsi ben 7/8 anni,
    > durante i quali ne io ne tu possiamo sapere
    > quante volte e' stata sfruttato tale bug.

    Questo varrebbe per tutto il SW, anche per quello M$ (non so quanti anni abbia SQL server); il concetto che ti sfugge e' un'altro:
    dal momento della scoperta della falla, la disponibilita' della patch si ha in tempi molto piu' brevi, e' ovvio poi che non sappiamo con esattezza quante volte le falle siano state sfruttate fino a quel momento.