edición general
198 meneos
1681 clics

Vulnerabilidad crítica en Samba [ENG]

La vulnerabilidad CVE-2015-0240 afecta al daemon smbd que corresponde con el servicio Samba. Esta vulnerabilidad puede ser aprovechada por un cliente Samba malicioso, mediante el envío de paquetes especialmente diseñados al servidor. No se requiere autenticación para aprovecharse de este problema. La explotación puede dar lugar a la ejecución remota de código con privilegios de usuario root.

| etiquetas: samba , vulnerabilidad , cve-2015-0240
Pues parece que lo han resuelto en el mismo día. Por ejemplo:
bugs.debian.org/cgi-bin/bugreport.cgi?bug=779033
Tan buenos no pueden ser ¿ qué se me está escapando ?
#1 que desde siempre se espera a que haya solución a un bug antes de publicarlo. Si no, se dice que es un zero-day . Hay una polémica bastante interesante sobre cuánto esperar, ya que unos esperan lo que hagafalta, google justo 90 días y Microsoft no libera parches hasta el segundo martes de mes. Difícil de sincronizar.
#13 "No se tarda más de un par de horas en publicar un parche desde que el bug ha sido reportado/encontrado."

xD xD xD

La respuesta correcta es #3
#16 No sé por qué te ríes. Sé lo que se tarda en corregir bugs de seguridad, lo he hecho muchas veces.

Si eres mantenedor de un sw, te lo conoces al dedillo. Cuando te describen un bug tardas muy poco en acotar dónde y por qué se produce. Entre que lo encuentras y lo corriges échale una hora. Más otra de pruebas para asegurar que no rompe nada. Eso sin contar que el que lo reporta incluya parche.

Hay proyectos que se toman en serio la seguridad (linux, gnupg, openssl, etc) y se pondrán a ello inmediatamente. Otros proyectos se lo toman más a pitorreo y pueden incluso ignorarlo. Pero es un problema de actitud, no de dificultad.
#17 El que lo reportó sí incluyó el parche y fue uno de Microsoft. ¿cuánto le llevó a él hacer el parche?

Hay fallos fáciles de arreglar, hay fallos normales y hay fallos complejos. Dependiendo de cómo sean te llevará más o menos arreglarlos pero no dos horas entre corregirlo, probarlo y publicarlo.

Dime ¿Cuándo se publicó el parche de este fallo?
#21 No sé cuándo se publicó. Lo que sé es que la noticia ha salido hoy, y Debian por ejemplo ya tiene la actualización disponible.
#23 Entonces deberías ver la fecha de esta noticia: unaaldia.hispasec.com/2015/02/vulnerabilidad-en-samba.html

Estás un poco perdido con las fechas pero el que no tiene razón soy yo.
#24 ¿? De verdad que no sé a dónde quieres llegar. Veo que la noticia se publicó el 22 de este mes. ¿Eso qué importa?

Lo he mirado, y el bug se reportó el día 11. Se publicó un parche ese mismo día 11.
bugzilla.redhat.com/show_bug.cgi?id=1191325

Que la noticia salga el día 22 no tiene ninguna relación, que yo sepa.
#25 Quise llegar a que la noticia no ha salido hoy como tú dijiste. Digo la noticia de que existe ese problema, igual tú te referías a la noticia que enlaza este meneo pero veo que esa tampoco ha salido hoy sino ayer.

Efectivamente, el bug fue reportado el día 11 y un parche fue subido ese mismo día... pero 9 horas después, no 2 y no de forma oficial, que es lo que importa.

Fue reportado el día 11 y ~12 días después estamos actualizando.

Esto último es lo que realmente importa y como ves no son 2 horas, ni siquiera 2 días.
#1 Pues parece que lo han resuelto en el mismo día.

Por supuesto. ¿Qué si no? Si es público es porque ya lo han corregido. No se tarda más de un par de horas en publicar un parche desde que el bug ha sido reportado/encontrado. Además, en este tipo de escenarios, muchas veces el que reporta el bug incluye un parche que lo corrige, por lo que el mantenedor sólo tiene que dar el visto bueno antes de publicarlo.

Tan buenos no pueden ser

¿A qué te refieres?
#1 Este es uno de esos bugs muy puñetero de pillar, pero muy fácil de solucionar. Hay un puntero a memoria que si se produce una cadena de sucesos especifica, puede llegar a intentar liberarse sin habérsele asignado un valor nunca (algo que no se debe hacer en C porque puede tener resultados imprevistos)

Si se mira el parche, es poco mas que asegurarse que el puntero se inicialice a NULL:
-struct netlogon_creds_CredentialState *creds;
+struct netlogon_creds_CredentialState *creds = NULL;
#18 Hoy llamo a mi abuela y se lo comento. Andaba preocupailla con eso de que el puntero se inicializase a NULL:
#22 Ojala si algun dia soy abuelo mis nietos se preocupen tanto por mi :-D
De todas formas siempre es una mala idea dejar un Samba accesible a Internet, ya que los bots lo confunden con un Windows cualquiera y te comen el ancho de banda a base de intentos de acceso.
#4 Aunque no esté publicado en Internet sigue siendo vulnerable a ataques internos en redes privadas ya sean cableadas o inalámbricas. El sistema de autentificación de un servidor de ficheros debe ser suficiente para validar accesos de tipo interno, es inadmisible que permita acceso de superusuario por un fallo de seguridad.
#8 samba es un servicio que se utiliza en muchos más ámbitos que "servidores de páginas web". Cualquier persona normal sabe eso.
Hoy mismo se ha actualizado Samba en mi Linux Mint 13.En la última versión el bug está arreglado.
www.youtube.com/watch?v=n56goP4uvJU Bellini - Samba De Janeiro (Club Mix) :-P
#6 Efectivamente la gente "normal" :troll: pensamos en estas cosas cuando nos hablan de Samba.
Si Menéame fuese un lugar de personas normales el titular habría sido "Se descubre un fallo de seguridad en servidores de páginas web". Pero bueno, es lo que hay...
#8 yo recuerdo ver Samba cuando trabajaba con Cobol xD , no es un chiste
#26: No conocía esa versión, está bien.
Es muy reconfortante leer está noticia mientra salta el Mint Update con una actualización del paquete smb. Viva Linux.
No voto negativo, porque soy muy friki y por respeto a #0. Pero desde cuando algo así es noticia de portada? A quien carajo le importa esto que no se dedique a la seguridad o lo sepa ya por fuentes especializadas? En serio? una noticia de una vulnerabilidad en samba y en ingles, en portada? xD
#14 pues para eso están las categorías. Y pues creo que en menéame habemos muchos interesados en ese tipo de temas. De hecho, cuando llegué a este sitio de software era de lo que más se hablaba.
Irrelevante, de este tipo de vulnerabilidades hay correcciones todas las semanas. ¿Qué, ahora hay que montar un logo y una mascota por cada error de seguridad? En Microsoft deberían ir preparando nombres para las mascotas a cascoporro...
Eso iba a postear, no hace ni unas horas que he leido la noticia y ya me ha llegado la actualizacion xD
Menuda cagada!
Se mezcló con el Mambo y salió un Cha cha cha [lol]
Pues toca parchear mi server al llegar a casa, que aunque sea un server en una LAN sin wifi, mejor tener las cosas al día
Para bailar la samba. Para bailar la samba. Se necesita una poca de gracia una poca de gracia. Mamita y ya y arriba y arriba y arriba y arriba y por ti sere, por ti ... ♫♪
Lo han resuelto el mismo dia. el que? ah una vulnerabilidad xD
comentarios cerrados

menéame