Samba: Trou de sécurité important

Posté par Christophe Robalo le 23 juin 2001 à 17:57. Modéré par oliv.

Étiquettes : aucune

juin

2001

Un trou de sécurité important qui permet à un utilisateur mal intentionné d'obtenir un accès root sur la machine cible a été découvert.
Toutes les versions de Samba sont concernées.

L'erreur est présente dans la directive 'log file' du fichier de configuration smb.conf à cause d'une erreur d'interprétation d'une macro (%m).

Votre machine est vulnérable si vous avez une option log file du type suivant:
log file = /var/log/samba/%m.log
log file = /var/log/samba/%m

Votre machine n'est pas vulnérable si vous avez ceci:
log file = /var/log/samba/log.%m

Il est recommandé aux personnes concernées d'éditer le fichier smb.conf en attendant la sortie imminente d'une nouvelle version de Samba qui corrigera cette faille.

UPDATE: 23 Juin, Samba 2.2.0a et Samba 2.0.10 sont disponibles, et corrigent cette alerte.

Aller plus loin

Le trou de sécurité (2 clics)
Samba (4 clics)

# ou lalala

Posté par Anonyme le 23 juin 2001 à 18:14. Évalué à 0.

j'ai eu peur j'ai cru que j'allais encore me taper un patch....
des fois cela commence a faire soucis
tous ces trous de sécurité!
- [^] # Phew!
  
  Posté par Ano le 23 juin 2001 à 18:48. Évalué à 1.
  
  Viens de vérifier, tout va bien!
  
  Au moins c'est vite corrigé!
  
  mcedit /etc/smb.conf
  /etc/rc.d/init.d/smb restart
  - [^] # Re: Phew!
    
    Posté par Anonyme le 23 juin 2001 à 18:54. Évalué à 0.
    
    heureusement sinon au job ,on va m'appeler Mr patch...
  - [^] # Re: Phew!
    
    Posté par Anonyme le 23 juin 2001 à 22:44. Évalué à 0.
    
    mcedit /etc/smb.conf
    
    Tu ne peux pas utiliser vi comme un vrai administrateur ?
    - [^] # Re: Phew!
      
      Posté par Anonyme le 23 juin 2001 à 23:25. Évalué à -1.
      
      moarf !!
      S'il suffit d'utiliser vi pour etre considéré comme un admin a part entière ! ca me fait peur
      
      Moi meme j'utilise mc pour des travaux édition simple.
      
      J'aime pas vi parce que tu doit taper sur dix milles touches avant d'avoir ton mode édition, insertion ou remplacement !
      
      sous les autres editeurs, cela n'est pas aussi prononcé
      
      M'enfin bon ! j'ai tendance a dire, Quand un éditeur vous plait, gardez le !
      
      -----------------------------
      Allez ! zou -1 ! hors sujet ;)
    - [^] # Nan!
      
      Posté par Ano le 23 juin 2001 à 23:51. Évalué à -1.
      
      Non je peux pas, et je suis pas administrateur, et j'en ai rien à talquer d'être un administrateur. Je suis utilisateur et je vise l'efficace, pas le "god mode on".
      
      D'ailleurs j'aime le bleu! C'est pour ça que j'ai toujours une partoche avec Win pour quand le ciel est gris.
      
      Et Vi, franchement, depuis qu'on a inventé les claviers étendus (avec F1, F2, etc...) et ssh pour les connexions distantes, l'ergonomie est un rien dépassé à mon goût. Allez, si on a une très vieille version de telnet à la rigueur.
      
      Mais c'est MON goût et ça n'engage que moi...
      - [^] # Re: Nan!
        
        Posté par Serge Rossi (site web personnel) le 24 juin 2001 à 00:17. Évalué à 1.
        
        Quand on a des Linux, des Sun, des SGI et qu'on se connecte sur tous les serveurs à tour de rôle, depuis une station ou depuis une VT branchée sur le port console, voire même quand on est en single user, ben on est bien content d'avoir vi !
        
        Quand on n'utilise que vi, on est à l'aise partout :-)
        
        Mais c'est vrai que tout ça, c'est la description d'un boulot d'admin.
        
        Le développeur lui ne sort pas de sa station avec son environnement et préfère son éditeur graphique pour éditer ses tonnes de sources.
        
        A chacun son éditeur.
        
        [^] # si on va par là...
        
        Posté par Troy McClure (site web personnel) le 24 juin 2001 à 02:10. Évalué à -1.
        
        Quand je me loggue sur mon système Xenix avec mon teletype 110 bauds, emacs *et* vi sont beaucoup trop lents. Ils affichent des messages inutiles comme 'c-h for help' et '"foo" file is read-only'. Alors j'utilise un éditeur qui ne gaspille pas mon PRECIEUX temps.
        
        Ed Man !
        
        [^] # Re: Nan!
        
        Posté par Anonyme le 25 juin 2001 à 11:47. Évalué à 0.
        
        Oui enfin bon, qd on a 3 lignes de scripts a ecrire je dis pas, mais sur 1000 ou 2000 lignes à ecrire par jour, VI, c'est bien gentil, mais sans les editeurs, on en serait encore au shell!
# Samba vient d'être corrigé

Posté par Christophe Robalo le 23 juin 2001 à 22:55. Évalué à 1.

Le patch, les sources et les packages .deb pour la nouvelle version sont dispo là:

http://lists.debian.org/debian-security-announce-01/msg00067.html(...)
# lcamtuf

Posté par Anonyme le 25 juin 2001 à 15:32. Évalué à 0.

vous avez gentillement oublie de mentionner *qui* a decouvert ce trou
toutes personnes qui ne savent pas encore ce que c'est Argante ont invitees a http://www.argante.org(...) - et si vous etes forts peut-etre vouse pouvez aider a developer le systeme

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.