Re: [FUG-BR] [OT] Samba 0day
pelo o que estou entendendo, nao foi um furo de seguranca ou um bug, mas uma opcao que vem setada como YES por default que deixa o sistema menos seguro. Fazendo uma analogia, seria algo assim: Voce prefere o trinco da sua porta pra fora ou pra dentro de casa ? ... por padrao, deixamos a entrada da chave do trinco pra fora para facilitar o acesso, se fizermos ao contrario, necessitaremos fazer um furo na porta (problema estetico) para que voce possa ter acesso ao trinco. Entao fica como opcao, priva-se a seguranca em prol da performance (ou estetica na analogia). enfim Ambiente e' ambiente. Em 7 de fevereiro de 2010 00:49, Celso Viana celso.via...@gmail.com escreveu: Em 6 de fevereiro de 2010 17:49, Vinicius Abrahao vinnix@gmail.com escreveu: Ele cria um link simbólico apontando pra ../../../../../../../../ e o samba aceita (uma vez que a validação é feita parte no cliente (arquitetura feia) e parte no server. Aí sim, ele consegue copiar o arquivo que quiser. Bom, pelo menos até aonde consegui assistir (ou o que eu consegui entender). O pessoal da lista do samba, recomenda fortemente que se coloque wide links = no[1] na configuração global do samba para mitigar o problema. E também disseram que vão mudar a opção default desse parametro (hoje é yes). [1] do $ man smb.conf wide links (S) This parameter controls whether or not links in the UNIX file system may be followed by the server. Links that point to areas within the directory tree exported by the server are always allowed; this parameter controls access only to areas that are outside the directory tree being exported. Note that setting this parameter can have a negative effect on your server performance due to the extra system calls that Samba has to do in order to perform the link checks. Default: wide links = yes Por favor, me corrijam se estiver errado. []s Vinicius Parte de artigo sobre SaMBa no clube do hardware... follow symlinks Permite o uso de links simbólicos no compartilhamento (veja também a opção wide links). A desativação desta opção diminui um pouco a performance de acesso aos arquivos. Como é restrita a compartilhamento, o impacto de segurança depende dos dados sendo compartilhados. O valor padrão desta opção é YES. Ex: follow symlinks = yes wide links Permite apontar para links simbólicos para fora do compartilhamento exportada pelo SAMBA. O valor padrão esta opção é YES. Ex: wide links = yes. OBS: - A desativação desta opção causa um aumento na performance do servidor SAMBA, evitando a chamada de funções do sistema para resolver os links. Entretanto, diminui a segurança do seu servidor, pois facilita a ocorrência de ataques usando links simbólicos. Lembre-se mais uma vez que a segurança do seu sistema começa pela política e uma instalação bem configurada, isso já implica desde a escolha de sua distribuição até o conhecimento de permissões e planejamento na implantação do servidor de arquivos. ...aumenta a performance, mas diminui a seguranca...; eh isso mesmo? -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Blog: http://www.luizgustavo.pro.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Samba 0day
2010/2/7 Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br: pelo o que estou entendendo, nao foi um furo de seguranca ou um bug, mas uma opcao que vem setada como YES por default que deixa o sistema menos seguro. Fazendo uma analogia, seria algo assim: Voce prefere o trinco da sua porta pra fora ou pra dentro de casa ? ... por padrao, deixamos a entrada da chave do trinco pra fora para facilitar o acesso, se fizermos ao contrario, necessitaremos fazer um furo na porta (problema estetico) para que voce possa ter acesso ao trinco. Entao fica como opcao, priva-se a seguranca em prol da performance (ou estetica na analogia). enfim Ambiente e' ambiente. Uma outra forma, citada hoje na lista do samba, para mitigar o problema, caso haja a necessidade de manter o 'wide links = yes', é utilizar algo como: dont descend = /Desktop,/Documents,/boot,/dev,/devices,/etc,/export,/hosts,/you_got_the_idea - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Samba 0day
2010/2/7 Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br pelo o que estou entendendo, nao foi um furo de seguranca ou um bug, mas uma opcao que vem setada como YES por default que deixa o sistema menos seguro. Fazendo uma analogia, seria algo assim: Voce prefere o trinco da sua porta pra fora ou pra dentro de casa ? ... por padrao, deixamos a entrada da chave do trinco pra fora para facilitar o acesso, se fizermos ao contrario, necessitaremos fazer um furo na porta (problema estetico) para que voce possa ter acesso ao trinco. Entao fica como opcao, priva-se a seguranca em prol da performance (ou estetica na analogia). enfim Ambiente e' ambiente. Não, é um bug, dos feios. O cliente do SAMBA não deixa que você crie este tipo de link por questões de segurança, mesmo com o wide links = yes. Mas a validação da dessa segurança era feita também pelo cliente, o que torna a validação porca, pois o código do cliente pode ser modificado e compilado, e foi exatamente isso que o que ele fez. Se você não fizer as modificações que ele efetuou no código, não ai conseguir reproduzir o bug. -- Antônio Rogério Lins de A. Pessoa Técnico em Tecnologia da Informação CREA-PE - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Samba 0day
O cara precisa de um usuário previamente de acesso. pelo que compreendi o tal do kcope, quero ver ele fazer isso em um sistema sem usuário, é um bug mais limitado a rede no qual o samba trabalha. Em 7 de fevereiro de 2010 19:25, Antônio Pessoa antoniopes...@bsd.com.brescreveu: 2010/2/7 Luiz Gustavo S. Costa luizgust...@luizgustavo.pro.br pelo o que estou entendendo, nao foi um furo de seguranca ou um bug, mas uma opcao que vem setada como YES por default que deixa o sistema menos seguro. Fazendo uma analogia, seria algo assim: Voce prefere o trinco da sua porta pra fora ou pra dentro de casa ? ... por padrao, deixamos a entrada da chave do trinco pra fora para facilitar o acesso, se fizermos ao contrario, necessitaremos fazer um furo na porta (problema estetico) para que voce possa ter acesso ao trinco. Entao fica como opcao, priva-se a seguranca em prol da performance (ou estetica na analogia). enfim Ambiente e' ambiente. Não, é um bug, dos feios. O cliente do SAMBA não deixa que você crie este tipo de link por questões de segurança, mesmo com o wide links = yes. Mas a validação da dessa segurança era feita também pelo cliente, o que torna a validação porca, pois o código do cliente pode ser modificado e compilado, e foi exatamente isso que o que ele fez. Se você não fizer as modificações que ele efetuou no código, não ai conseguir reproduzir o bug. -- Antônio Rogério Lins de A. Pessoa Técnico em Tecnologia da Informação CREA-PE - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- :=)Paulo Henrique (JSRD)(=: Alone, locked, a survivor, unfortunately not know who I am - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Samba 0day
2010/2/7 Paulo Henrique paulo.rd...@bsd.com.br: O cara precisa de um usuário previamente de acesso. pelo que compreendi o tal do kcope, quero ver ele fazer isso em um sistema sem usuário, é um bug mais limitado a rede no qual o samba trabalha. O que não deixa de ser grave mesmo assim. Se você combinar isso a ataques de engenharia social, a coisa piora ainda mais. Isso partindo do pressuposto que os usuários internos não têm más intenções, o que todos sabam, ou deveriam saber, não é verdade. Todos os meus serviços rodando SAMBA têm a opção wide links desativada, SEMPRE, por isso estou tranquilo, mas espero que isso seja corrigido o quanto antes e que a equipe do SAMBA revise as validações de segurança que dependem do cliente para funcionar. -- Antônio Rogério Lins de A. Pessoa Técnico em Tecnologia da Informação CREA-PE - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Samba 0day
disclosure sucks a lot... Impressão minha ou o cara faz mesmo login como root? E copia o /etc/passwd achando que foi um grande hacking? -- []´s Helio Loureiro http://helio.loureiro.eng.br http://hloureiro.multiply.com http://twitter.com/helioloureiro - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Samba 0day
Ele cria um link simbólico apontando pra ../../../../../../../../ e o samba aceita (uma vez que a validação é feita parte no cliente (arquitetura feia) e parte no server. Aí sim, ele consegue copiar o arquivo que quiser. Bom, pelo menos até aonde consegui assistir (ou o que eu consegui entender). O pessoal da lista do samba, recomenda fortemente que se coloque wide links = no[1] na configuração global do samba para mitigar o problema. E também disseram que vão mudar a opção default desse parametro (hoje é yes). [1] do $ man smb.conf wide links (S) This parameter controls whether or not links in the UNIX file system may be followed by the server. Links that point to areas within the directory tree exported by the server are always allowed; this parameter controls access only to areas that are outside the directory tree being exported. Note that setting this parameter can have a negative effect on your server performance due to the extra system calls that Samba has to do in order to perform the link checks. Default: wide links = yes Por favor, me corrijam se estiver errado. []s Vinicius 2010/2/6 Helio Loureiro he...@loureiro.eng.br: disclosure sucks a lot... Impressão minha ou o cara faz mesmo login como root? E copia o /etc/passwd achando que foi um grande hacking? -- []´s Helio Loureiro http://helio.loureiro.eng.br http://hloureiro.multiply.com http://twitter.com/helioloureiro - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Samba 0day
certin certin Em 6 de fevereiro de 2010 16:49, Vinicius Abrahao vinnix@gmail.comescreveu: Ele cria um link simbólico apontando pra ../../../../../../../../ e o samba aceita (uma vez que a validação é feita parte no cliente (arquitetura feia) e parte no server. Aí sim, ele consegue copiar o arquivo que quiser. Bom, pelo menos até aonde consegui assistir (ou o que eu consegui entender). O pessoal da lista do samba, recomenda fortemente que se coloque wide links = no[1] na configuração global do samba para mitigar o problema. E também disseram que vão mudar a opção default desse parametro (hoje é yes). [1] do $ man smb.conf wide links (S) This parameter controls whether or not links in the UNIX file system may be followed by the server. Links that point to areas within the directory tree exported by the server are always allowed; this parameter controls access only to areas that are outside the directory tree being exported. Note that setting this parameter can have a negative effect on your server performance due to the extra system calls that Samba has to do in order to perform the link checks. Default: wide links = yes Por favor, me corrijam se estiver errado. []s Vinicius 2010/2/6 Helio Loureiro he...@loureiro.eng.br: disclosure sucks a lot... Impressão minha ou o cara faz mesmo login como root? E copia o /etc/passwd achando que foi um grande hacking? -- []´s Helio Loureiro http://helio.loureiro.eng.br http://hloureiro.multiply.com http://twitter.com/helioloureiro - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Rodrigo Almeida - Net/Sys Administrator - Universidade do Estado do Amazonas. BSDA ID: 20092241609603288848 LPIC 2 ID: LPI000153278 Fone: 92 8185-6606 -- Colecionador de dentes de galinhas e Usuario fiel de Sistemas BSD. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Samba 0day
Em 6 de fevereiro de 2010 17:49, Vinicius Abrahao vinnix@gmail.com escreveu: Ele cria um link simbólico apontando pra ../../../../../../../../ e o samba aceita (uma vez que a validação é feita parte no cliente (arquitetura feia) e parte no server. Aí sim, ele consegue copiar o arquivo que quiser. Bom, pelo menos até aonde consegui assistir (ou o que eu consegui entender). O pessoal da lista do samba, recomenda fortemente que se coloque wide links = no[1] na configuração global do samba para mitigar o problema. E também disseram que vão mudar a opção default desse parametro (hoje é yes). [1] do $ man smb.conf wide links (S) This parameter controls whether or not links in the UNIX file system may be followed by the server. Links that point to areas within the directory tree exported by the server are always allowed; this parameter controls access only to areas that are outside the directory tree being exported. Note that setting this parameter can have a negative effect on your server performance due to the extra system calls that Samba has to do in order to perform the link checks. Default: wide links = yes Por favor, me corrijam se estiver errado. []s Vinicius Parte de artigo sobre SaMBa no clube do hardware... follow symlinks Permite o uso de links simbólicos no compartilhamento (veja também a opção wide links). A desativação desta opção diminui um pouco a performance de acesso aos arquivos. Como é restrita a compartilhamento, o impacto de segurança depende dos dados sendo compartilhados. O valor padrão desta opção é YES. Ex: follow symlinks = yes wide links Permite apontar para links simbólicos para fora do compartilhamento exportada pelo SAMBA. O valor padrão esta opção é YES. Ex: wide links = yes. OBS: - A desativação desta opção causa um aumento na performance do servidor SAMBA, evitando a chamada de funções do sistema para resolver os links. Entretanto, diminui a segurança do seu servidor, pois facilita a ocorrência de ataques usando links simbólicos. Lembre-se mais uma vez que a segurança do seu sistema começa pela política e uma instalação bem configurada, isso já implica desde a escolha de sua distribuição até o conhecimento de permissões e planejamento na implantação do servidor de arquivos. ...aumenta a performance, mas diminui a seguranca...; eh isso mesmo? -- Celso Vianna BSD User: 51318 http://www.bsdcounter.org 63 8404-8559 Palmas/TO - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] [OT] Samba 0day
Saiu um 0day para o samba. http://www.youtube.com/watch?v=NN50RtZ2N74 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] [OT] Samba 0day
disclosure sucks a lot... Em 5 de fevereiro de 2010 08:31, ander...@hacknroll.com escreveu: Saiu um 0day para o samba. http://www.youtube.com/watch?v=NN50RtZ2N74 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- --- Rodrigo Almeida - Net/Sys Administrator - Universidade do Estado do Amazonas. BSDA ID: 20092241609603288848 LPIC 2 ID: LPI000153278 Fone: 92 8185-6606 -- Colecionador de dentes de galinhas e Usuario fiel de Sistemas BSD. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd