[Eisfair_dev] Wichtige Aenderung in Samba 4.13

[Marcus Röckrath]

Hallo Kay,

Kay Martinen wrote:

>> Angriffe, über die ich gelesen habe, funktionierten dann darüber, dass es
>> dem Hacker mit einem speziellen smbclient gelang in der Freigabe selbst
>> Links mit beliebigem Ziel außerhalb der Freigabe anzulegen.
>> 
>> Ich denke, du weißt, was dann abgeht.
> 
> Er kann darüber Dateien injizieren, diese ausführbar machen... wie bei
> vielen anderen lücken auch. Der Unterschied ist nur: Das läuft via smb.
> Na und?

Wie na und?

Wenn der Angreifer dadurch essentielle Dateien gegen eigene austauschen
kann, hat er die Gewalt über das Komplettsystem. ...

Keine Ahnung, ob es noch möglich ist, in diesem Fall Links in einer Freigabe
anzulegen, womöglich wird dies durch den Ausschluss von unixextensions bei
aktivierten wide links verhindert.

Ich bin kein Forensiker und wage deshalb keine eigene Analyse.

> Wenn wide links per default no wäre, Ja! Das scheint aber nicht so zu
> sein. "nobody" ist auch nicht perfekt.

In samba schon, wir setzen das per Default auf yes!

> BfB sperrt IPs aus die zu sehr nerven
> Geoblocking blockt zugriffe von IPs aus Region X y oder Z ab

Und wenn der Hacker aus dem gesperrten Land X eine Server/PC aus dem
erlaubten Land Y in seiner Gewalt hat, laufen solche Dinge auch ins Leere.

Mir ging es auch nur darum festzustellen, dass unsichere Konfiguration haben
möchte, aber dann das System mit solchen eher verschleiernden Dingen in
Sicherheit bringen will.

Abgesehen davon käme ein Angriff über Samba aus dem eienen Netz.

> Man kann eine Tür/Port zu lassen, dann kommt keiner rein. Aber dann gibt
> es keinen Serverdienst. Man kann sie auf lassen und nichts weiter und
> hat einen Serverdienst den alle nutzen können.

Es geht hier nicht um die Tür in die Freigabe sondern um eine Tür aus ihr
heraus.

-- 
Gruß Marcus
[eisfair-Team]