Ergebnis 1 bis 7 von 7
  1. #1

    Frage Umsetzung Samba CVE-2012-1182 in 4.0-2219?

    Hallo,

    bin neu hier und habe ein 409.

    Ich wunderte mich wie auch andere über die schnelle Umsetzung der Samba-Sicherheitslücke.

    Change Log DSM 4.0-2219
    (...)
    2. Enhanced Samba protocol security by preventing remote code execution as the "root" user (CVE-2012-1182).
    (...)

    Allerdings zeigt mir
    smbd -V
    immer noch
    Version 3.2.8
    an.

    Da diese Samba Version nicht mehr gepflegt (discontinued) wird kann es sich nur um den Workaround handeln der hier beschrieben wird:
    https://www.samba.org/samba/security/CVE-2012-1182
    (...)
    ==========
    Workaround
    ==========

    Samba contains a "hosts allow" parameter that can be used inside
    smb.conf to restrict the clients allowed to connect to the server to a
    trusted list. This can be used to help mitigate the problem caused by
    this bug but it is by no means a real fix, as client addresses can be
    easily faked.
    (...)

    Warum wird nicht endlich mal auf eine aktuelle Samba-Version aktualisiert, welche dann auch ntlmv2 unterstützt?
    Hatte ich mir von DSM 4.0 gewünscht!
    Na klar könnte ich diese selbst kompilieren - müßte dann aber auch alle Einstellungen in der smb.conf von Hand editieren ...

    MfG

    PS: hoffentlich habe ich keinen ähnlichen Thread übersehen ...
    PS2: Es gibt kein "Firmware 22xx" Unterforum

  2. #2
    Moderator
    Registriert seit
    18.03.2009
    Beiträge
    13.264

    Standard

    Hallo,
    die host allow Direktive wird in smbd.conf festgelegt und Synology kann nun wirklich nicht wissen welche Rechner wir zulassen wollen. Samba stell Patches bis 3.0.37 zur Verfügung, der Patch wird dann wohl wirklich drin sein.

    Gruß Götz
    DS1513+ / DSM 6.2 / 3x 2TB Samsung HD204UI
    DS916+ / DSM 6.1.7 / 3x 4TB HGST MegaScale DC 4000.B
    DS213+ / DSM 6.2 / 2x 2TB Seagate Constellation ES
    eTrayZ / Samsung HD103SI
    APC SMT750I+AP9631

  3. #3

    Standard

    Auf ftp://ftp.samba.org/pub/samba/patches/ ist kein patch zu sehen.
    Die host.allow könnte natürlich im Webinterface zu finden sein - habe ich aber noch nicht entdeckt.
    Per Firewall-Regel?

  4. #4
    Moderator Avatar von Matthieu
    Registriert seit
    03.11.2008
    Beiträge
    13.003
    Blog-Einträge
    46

    Standard

    Zitat Zitat von BlaBlub2012 Beitrag anzeigen
    Auf ftp://ftp.samba.org/pub/samba/patches/ ist kein patch zu sehen.
    Die host.allow könnte natürlich im Webinterface zu finden sein - habe ich aber noch nicht entdeckt.
    Per Firewall-Regel?
    Glaub mir, es gibt keine neue derartige Regel. Synology patcht nach eigener Aussage viele Software-Komponenten mit wichtigen Updates selbst. Es gibt ja mehr als nur Samba was nicht auf dem neuesten Stand ist, aber Synology zieht es aus welchem Grund auch immer vor bei diesen Versionen zu bleiben und patches selbst einzupflegen. Theoretisch müsste man sich davon in den GPL-sourcen auch überzeugen können ...

    MfG Matthieu
    Paketzentrum-Server "Community Package Hub"
    DS207+ | DS209+II | DS411+II | DS1513+ | DS916+ 8GB | RS818+ 16GB
    || 4x WD20EFRX, 4x ST4000VN008, 2x WD10EADS, 2x HDS721616, 1x HD204UI, 3x WD30EFRX
    iUSB2 | APC USV | Synology Remote
    | Chromecast 2 | Chromecast Audio | Fairphone 2

    "There is no cloud, just other people's computers" - Free Software Foundation Europe

  5. #5

    Standard

    Unsinn wo soll der Patch denn herkommen?
    Der herunterladbare Source ist vom 20.03.2012
    Geändert von BlaBlub2012 (20.04.2012 um 13:36 Uhr)

  6. #6
    Moderator Avatar von Matthieu
    Registriert seit
    03.11.2008
    Beiträge
    13.003
    Blog-Einträge
    46

    Standard

    Zitat Zitat von BlaBlub2012 Beitrag anzeigen
    Unsinn wo soll der Patch denn herkommen?
    Der herunterladbare Source ist vom 20.03.2012
    Das würde ja im Umkehrschluss bedeuten, dass Synology nicht in der Lage ist einen existierenden Patch anzuschauen und so anzupassen dass er auch für verwendete Version geht. Oder die Änderungen gleich direkt im Sourcecode vorzunehmen.
    In den GPL-Quellen müssten ja trotzdem die entsprechend älteren Patches zu sehen sein. Alternativ kannst du auch gleich mit einem passenden Security-Tool auf die DS einhacken und schauen ob sie auf alte Lücken reagiert ...
    Oder du fragst direkt Synology wie sie es gemacht haben.

    MfG Matthieu
    Paketzentrum-Server "Community Package Hub"
    DS207+ | DS209+II | DS411+II | DS1513+ | DS916+ 8GB | RS818+ 16GB
    || 4x WD20EFRX, 4x ST4000VN008, 2x WD10EADS, 2x HDS721616, 1x HD204UI, 3x WD30EFRX
    iUSB2 | APC USV | Synology Remote
    | Chromecast 2 | Chromecast Audio | Fairphone 2

    "There is no cloud, just other people's computers" - Free Software Foundation Europe

  7. #7

    Standard

    OK, es wäre möglich einen vorhandenen Patch anzupassen.
    Im aktuell herunterladbaren Source habe ich bisher nicht zu Patchen gefunden.
    Aber trotzdem wundert es mich das 3.2.8 weiterhin verwendet wird ... --> NTLMv2

Ähnliche Themen

  1. DSM 4.0 2219 freigegeben
    Von swiffer im Forum Firmware 21xx
    Antworten: 55
    Letzter Beitrag: 07.05.2012, 22:12
  2. Forenregeln und deren Umsetzung
    Von qbic im Forum Off-Topic
    Antworten: 13
    Letzter Beitrag: 12.04.2010, 14:03

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •