Umsetzung Samba CVE-2012-1182 in 4.0-2219?

[BlaBlub2012]

Hallo,

bin neu hier und habe ein 409.

Ich wunderte mich wie auch andere über die schnelle Umsetzung der Samba-Sicherheitslücke.

Change Log DSM 4.0-2219
(...)
2. Enhanced Samba protocol security by preventing remote code execution as the "root" user (CVE-2012-1182).
(...)

Allerdings zeigt mir
smbd -V
immer noch
Version 3.2.8
an.

Da diese Samba Version nicht mehr gepflegt (discontinued) wird kann es sich nur um den Workaround handeln der hier beschrieben wird:
https://www.samba.org/samba/security/CVE-2012-1182
(...)
==========
Workaround
==========

Samba contains a "hosts allow" parameter that can be used inside
smb.conf to restrict the clients allowed to connect to the server to a
trusted list. This can be used to help mitigate the problem caused by
this bug but it is by no means a real fix, as client addresses can be
easily faked.
(...)

Warum wird nicht endlich mal auf eine aktuelle Samba-Version aktualisiert, welche dann auch ntlmv2 unterstützt?
Hatte ich mir von DSM 4.0 gewünscht!
Na klar könnte ich diese selbst kompilieren - müßte dann aber auch alle Einstellungen in der smb.conf von Hand editieren ...

MfG

PS: hoffentlich habe ich keinen ähnlichen Thread übersehen ...
PS2: Es gibt kein "Firmware 22xx" Unterforum

 

[goetz]

Hallo,
die host allow Direktive wird in smbd.conf festgelegt und Synology kann nun wirklich nicht wissen welche Rechner wir zulassen wollen. Samba stell Patches bis 3.0.37 zur Verfügung, der Patch wird dann wohl wirklich drin sein.

Gruß Götz

 

[BlaBlub2012]

Auf ftp://ftp.samba.org/pub/samba/patches/ ist kein patch zu sehen.
Die host.allow könnte natürlich im Webinterface zu finden sein - habe ich aber noch nicht entdeckt.
Per Firewall-Regel?

 

[Matthieu]

Auf ftp://ftp.samba.org/pub/samba/patches/ ist kein patch zu sehen.
Die host.allow könnte natürlich im Webinterface zu finden sein - habe ich aber noch nicht entdeckt.
Per Firewall-Regel?

Glaub mir, es gibt keine neue derartige Regel. Synology patcht nach eigener Aussage viele Software-Komponenten mit wichtigen Updates selbst. Es gibt ja mehr als nur Samba was nicht auf dem neuesten Stand ist, aber Synology zieht es aus welchem Grund auch immer vor bei diesen Versionen zu bleiben und patches selbst einzupflegen. Theoretisch müsste man sich davon in den GPL-sourcen auch überzeugen können ...

MfG Matthieu

 

[BlaBlub2012]

Unsinn wo soll der Patch denn herkommen?
Der herunterladbare Source ist vom 20.03.2012

 

[Matthieu]

Unsinn wo soll der Patch denn herkommen?
Der herunterladbare Source ist vom 20.03.2012

Das würde ja im Umkehrschluss bedeuten, dass Synology nicht in der Lage ist einen existierenden Patch anzuschauen und so anzupassen dass er auch für verwendete Version geht. Oder die Änderungen gleich direkt im Sourcecode vorzunehmen.
In den GPL-Quellen müssten ja trotzdem die entsprechend älteren Patches zu sehen sein. Alternativ kannst du auch gleich mit einem passenden Security-Tool auf die DS einhacken und schauen ob sie auf alte Lücken reagiert ...
Oder du fragst direkt Synology wie sie es gemacht haben.

MfG Matthieu

 

[BlaBlub2012]

OK, es wäre möglich einen vorhandenen Patch anzupassen.
Im aktuell herunterladbaren Source habe ich bisher nicht zu Patchen gefunden.
Aber trotzdem wundert es mich das 3.2.8 weiterhin verwendet wird ... --> NTLMv2