Umsetzung Samba CVE-2012-1182 in 4.0-2219?

Status
Für weitere Antworten geschlossen.

BlaBlub2012

Benutzer
Mitglied seit
20. Apr 2012
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo,

bin neu hier und habe ein 409.

Ich wunderte mich wie auch andere über die schnelle Umsetzung der Samba-Sicherheitslücke.

Change Log DSM 4.0-2219
(...)
2. Enhanced Samba protocol security by preventing remote code execution as the "root" user (CVE-2012-1182).
(...)

Allerdings zeigt mir
smbd -V
immer noch
Version 3.2.8
an.

Da diese Samba Version nicht mehr gepflegt (discontinued) wird kann es sich nur um den Workaround handeln der hier beschrieben wird:
https://www.samba.org/samba/security/CVE-2012-1182
(...)
==========
Workaround
==========

Samba contains a "hosts allow" parameter that can be used inside
smb.conf to restrict the clients allowed to connect to the server to a
trusted list. This can be used to help mitigate the problem caused by
this bug but it is by no means a real fix, as client addresses can be
easily faked.
(...)

Warum wird nicht endlich mal auf eine aktuelle Samba-Version aktualisiert, welche dann auch ntlmv2 unterstützt?
Hatte ich mir von DSM 4.0 gewünscht!
Na klar könnte ich diese selbst kompilieren - müßte dann aber auch alle Einstellungen in der smb.conf von Hand editieren ...

MfG

PS: hoffentlich habe ich keinen ähnlichen Thread übersehen ... :eek:
PS2: Es gibt kein "Firmware 22xx" Unterforum
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.999
Punkte für Reaktionen
264
Punkte
373
Hallo,
die host allow Direktive wird in smbd.conf festgelegt und Synology kann nun wirklich nicht wissen welche Rechner wir zulassen wollen. Samba stell Patches bis 3.0.37 zur Verfügung, der Patch wird dann wohl wirklich drin sein.

Gruß Götz
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Auf ftp://ftp.samba.org/pub/samba/patches/ ist kein patch zu sehen.
Die host.allow könnte natürlich im Webinterface zu finden sein - habe ich aber noch nicht entdeckt.
Per Firewall-Regel?
Glaub mir, es gibt keine neue derartige Regel. Synology patcht nach eigener Aussage viele Software-Komponenten mit wichtigen Updates selbst. Es gibt ja mehr als nur Samba was nicht auf dem neuesten Stand ist, aber Synology zieht es aus welchem Grund auch immer vor bei diesen Versionen zu bleiben und patches selbst einzupflegen. Theoretisch müsste man sich davon in den GPL-sourcen auch überzeugen können ...

MfG Matthieu
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Unsinn wo soll der Patch denn herkommen?
Der herunterladbare Source ist vom 20.03.2012
Das würde ja im Umkehrschluss bedeuten, dass Synology nicht in der Lage ist einen existierenden Patch anzuschauen und so anzupassen dass er auch für verwendete Version geht. Oder die Änderungen gleich direkt im Sourcecode vorzunehmen.
In den GPL-Quellen müssten ja trotzdem die entsprechend älteren Patches zu sehen sein. Alternativ kannst du auch gleich mit einem passenden Security-Tool auf die DS einhacken und schauen ob sie auf alte Lücken reagiert ...
Oder du fragst direkt Synology wie sie es gemacht haben.

MfG Matthieu
 

BlaBlub2012

Benutzer
Mitglied seit
20. Apr 2012
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
OK, es wäre möglich einen vorhandenen Patch anzupassen.
Im aktuell herunterladbaren Source habe ich bisher nicht zu Patchen gefunden.
Aber trotzdem wundert es mich das 3.2.8 weiterhin verwendet wird ... --> NTLMv2
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat