22836 2010-01-27 00:52:32 +0300 CVE-2009-3297: mount.cifs privilege escalation 2010-10-12 11:48:19 +0400 1 1 4 Development Sisyphus samba-client unstable all Linux CLOSED FIXED https://bugzilla.samba.org/show_bug.cgi?id=6853 security P3 blocker --- 1 ldv sin aen petervf sin qa-sisyphus oldest_to_newest 105997 0 ldv 2010-01-27 00:52:32 +0300 https://bugzilla.samba.org/show_bug.cgi?id=6853 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-3297 Ronald Volgers found a race condition in the samba-client's mount.cifs utility. Local, unprivileged user could use this flaw to conduct symlink attacks, leading to disclosure of sensitive information, or, possibly to privilege escalation. cifsmount is installed "wheelonly" by default. 105998 1 ab 2010-01-27 00:56:44 +0300 Jeff Leyton сделал патчи, которые отрывают возможность использовать setuid на mount.cifs. Реально это означает, что целый ряд полезных конфигураций перестанет работать. Джефф также сейчас переписывает mount.cifs так, чтобы его можно было использовать setuid. Поскольку в конфигурации по умолчанию mount.cifs в ALT достаточно защищен (wheelonly), нужно ли прикладывать отрывающие setuid патчи сейчас или стоит дождаться новой версии от Джеффа? 105999 2 ldv 2010-01-27 01:04:07 +0300 (In reply to comment #1) > Jeff Leyton сделал патчи, которые отрывают возможность использовать setuid на > mount.cifs. Реально это означает, что целый ряд полезных конфигураций > перестанет работать. Т.е. mount.cifs фактически станет эквивалентным режиму установки "restricted"? Какие полезные конфигурации при этом перестанут работать? > Джефф также сейчас переписывает mount.cifs так, чтобы его > можно было использовать setuid. > > Поскольку в конфигурации по умолчанию mount.cifs в ALT достаточно защищен > (wheelonly), нужно ли прикладывать отрывающие setuid патчи сейчас или стоит > дождаться новой версии от Джеффа? Оторвать setuid можно и более простым способом. Вопрос, что мы теряем, и стоит ли это делать. 106000 3 ab 2010-01-27 01:17:28 +0300 Я бы сказал, что перестанут работать конфигурации "более одного клиента на сервере", которым требуется монтировать удаленный ресурс. Перестанут работать типичные однопользовательские ситуации, когда пользователь монтирует ресурс через графические утилиты в GNOME/KDE без использования рута. Ну и усложнится статическая настройка для одного пользователя. 109518 4 vitty 2010-05-29 01:06:45 +0400 попавшая в сизиф samba-3.4.8 имеет указанные патчи 109520 5 ldv 2010-05-29 01:13:54 +0400 Верю. :) 113536 6 petervf 2010-10-11 17:14:14 +0400 Прошу прощения - из последних комментариев не уловил: таки, это навсегда? ($ rpm -q samba samba-3.5.5-alt1 та же проблема) 113553 7 vitty 2010-10-11 21:10:57 +0400 (In reply to comment #6) > Прошу прощения - из последних комментариев не уловил: > таки, это навсегда? > ($ rpm -q samba > samba-3.5.5-alt1 - та же проблема) Какая проблема? Изначальная ошибка описывала уязвимость, которая в современной samba отсутствует. 113587 8 petervf 2010-10-12 11:48:19 +0400 да я о проблемах из https://bugzilla.altlinux.org/show_bug.cgi?id=22836#c3