Bug 22836

Summary: CVE-2009-3297: mount.cifs privilege escalation
Product: Sisyphus Reporter: Dmitry V. Levin <ldv>
Component: samba-clientAssignee: Evgeny Sinelnikov <sin>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: blocker    
Priority: P3 CC: aen, petervf, sin
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: https://bugzilla.samba.org/show_bug.cgi?id=6853

Description Dmitry V. Levin 2010-01-27 00:52:32 MSK
https://bugzilla.samba.org/show_bug.cgi?id=6853
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-3297

Ronald Volgers found a race condition in the samba-client's mount.cifs utility. Local, unprivileged user could use this flaw to conduct symlink attacks, leading to disclosure of sensitive information, or, possibly to privilege escalation.

cifsmount is installed "wheelonly" by default.
Comment 1 Alexander Bokovoy 2010-01-27 00:56:44 MSK
Jeff Leyton сделал патчи, которые отрывают возможность использовать setuid на mount.cifs. Реально это означает, что целый ряд полезных конфигураций перестанет работать. Джефф также сейчас переписывает mount.cifs так, чтобы его можно было использовать setuid.

Поскольку в конфигурации по умолчанию mount.cifs в ALT достаточно защищен (wheelonly), нужно ли прикладывать отрывающие setuid патчи сейчас или стоит дождаться новой версии от Джеффа?
Comment 2 Dmitry V. Levin 2010-01-27 01:04:07 MSK
(In reply to comment #1)
> Jeff Leyton сделал патчи, которые отрывают возможность использовать setuid на
> mount.cifs. Реально это означает, что целый ряд полезных конфигураций
> перестанет работать.

Т.е. mount.cifs фактически станет эквивалентным режиму установки "restricted"?
Какие полезные конфигурации при этом перестанут работать?

> Джефф также сейчас переписывает mount.cifs так, чтобы его
> можно было использовать setuid.
> 
> Поскольку в конфигурации по умолчанию mount.cifs в ALT достаточно защищен
> (wheelonly), нужно ли прикладывать отрывающие setuid патчи сейчас или стоит
> дождаться новой версии от Джеффа?

Оторвать setuid можно и более простым способом.  Вопрос, что мы теряем, и стоит ли это делать.
Comment 3 Alexander Bokovoy 2010-01-27 01:17:28 MSK
Я бы сказал, что перестанут работать конфигурации "более одного клиента на сервере", которым требуется монтировать удаленный ресурс. Перестанут работать типичные однопользовательские ситуации, когда пользователь монтирует ресурс через графические утилиты в GNOME/KDE без использования рута. Ну и усложнится статическая настройка для одного пользователя.
Comment 4 Vitaly Kuznetsov 2010-05-29 01:06:45 MSD
попавшая в сизиф samba-3.4.8 имеет указанные патчи
Comment 5 Dmitry V. Levin 2010-05-29 01:13:54 MSD
Верю. :)
Comment 6 PeterVF 2010-10-11 17:14:14 MSD
Прошу прощения - 
из последних комментариев не уловил:
таки, это навсегда?
($ rpm -q samba
samba-3.5.5-alt1
та же проблема)
Comment 7 Vitaly Kuznetsov 2010-10-11 21:10:57 MSD
(In reply to comment #6)
> Прошу прощения -  из последних комментариев не уловил:
> таки, это навсегда?
> ($ rpm -q samba 
> samba-3.5.5-alt1 - та же проблема)

Какая проблема? Изначальная ошибка описывала уязвимость, которая в современной samba отсутствует.
Comment 8 PeterVF 2010-10-12 11:48:19 MSD
да я о проблемах из https://bugzilla.altlinux.org/show_bug.cgi?id=22836#c3