Что такое «ошибка блокировки»?


10

Пользователь в общей комнате Ask Ubuntu разместил ссылку на Badlock . После некоторых поисков я могу обнаружить только таинственную ошибку безопасности, которая использует тот же шаблон веб-сайта, что и Heartbleed.

Я управляю серверами Linux, таинственная ошибка безопасности не устраивает меня. Что именно, и как я могу защитить свои серверы от этого?


Это ошибка, связанная с тем samba, что серверы Linux используют samba для «общения» с общими ресурсами Windows. Таким образом, эта «ошибка» затрагивает системы Linux. Как говорится на каком-то сайте, который я сейчас
читаю

Что ж, прочитайте достаточно, чтобы опубликовать свой собственный ответ, пока Microsoft / Samba не выпустит больше информации
blade19899

Что я хотел бы знать, относительно этого, будет ли обновление сегодня или нет, и хорошо, почему 15.10 все еще работает на Samba 4.1. но хорошо 15.10 рядом с EOL.
Видеонавт

@Videonauth отправил ответ, редактируя, чтобы разместить соответствующую информацию, которую я нахожу онлайн
blade19899

Ответы:


12

Что такое BadLock

Badlock - это ошибка, которая затрагивает Windows и Samba.

Что могут хакеры сделать с этим багом безопасности?

Две вещи:

  • Атаки «человек посередине» (MITM):

  • Атаки типа «отказ в обслуживании» (DoS):

Badlock CVE: CVE-2016-2118 . Есть дополнительные CVE, связанные с Badlock. Это:

Какие версии самбы затронуты

  • 3.6.x,
  • 4.0.x,
  • 4.1.x,
  • 4.2.0-4.2.9,
  • 4.3.0-4.3.6,
  • 4.4.0

Fix:

Загрузите патчи для вашей версии Samba здесь:

Насколько плох Бадлок?

Серьезность Badlock в соответствии с Общей системой оценки уязвимостей (CVSS):

CVSS: 3.0 / AV: A / AC: H / PR: N / UI: R / S: U / C: H / I: H / A: H / E: P / RL: O / RC: C База: 7.1 (Высоко); Temporal: 6,4 (средний)

Заметки:

С выходом Samba 4.4.0 22 марта ветвь релиза 4.1 была помечена как СЛЕДУЮЩАЯ (см. Планирование выпуска Samba )


Дальнейшее чтение :

Официальный сайт бадлока :

Ссылки :


Не лучше ли связать файл lock.c с официальным github samba, чтобы никто не стал его неправильно интерпретировать и извлекать samba из более неизвестного источника.
Видеонавт

@Videonauth передай мне ссылку, и я включу ее туда!
blade19899

lock.c и основной сайт этого официального зеркала здесь
Videonauth

1
Очевидно, что исправление заключается в обновлении до самой новой версии samba, после 17:00
cybernard

1
Исправления в репозиториях сегодня утром (18.04).
Органический мрамор

3

Посмотрите здесь для пакетов обновления безопасности Ubuntu:

https://bugs.launchpad.net/ubuntu/+source/samba/+bug/1569497

Потребовалось немного времени для публикации, но, черт возьми, это намного проще, чем установить патчи с 3.6.3 до 3.6.25 и применить официальные патчи.

NB: я пытался собрать 3.6.25 из точного исходного кода и потерпел неудачу. YMMV.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.