Portál AbcLinuxu, 10. května 2025 02:57

Jak byla bezpečnostní chyba Badlock objevena a následně opravena

Příspěvek How Badlock Was Discovered and Fixed na blogu Red Hatu zevrubně rozebírá, jak byla bezpečnostní chyba Badlock objevena a následně opravena a především, proč to trvalo tak dlouho.

18.4.2016 22:11 | Ladislav Hagara | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

Bystroushaak avatar 18.4.2016 22:12 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
Odpovědět | Sbalit | Link | Blokovat | Admin
Ještě by o ní mohli natočit film a postavit památník. Pokud bude dobře přijat, tak další možnosti poskytuje třeba státní svátek.
blog.rfox.eu
18.4.2016 22:20 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena

LOGJAM: The Toilet Horror

18.4.2016 23:06 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
A ještě napsat Harry Potter a Badlock. :-D :-) :-D
19.4.2016 05:42 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
Odpovědět | Sbalit | Link | Blokovat | Admin
Určitě zajímavý náhled do toho, co taková práce obnáší, ale mrzí mne, že i teď se pořád ještě snaží obhajovat to barnumské PR a nemají odvahu přiznat, že to bylo přehnané a nezodpovědné.
19.4.2016 11:04 chrono
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
Čo presne nezodpovedné na tom bolo?
19.4.2016 11:27 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
To veřejné oznámení jednak hodně přehánělo ohledně závažnosti té chyby (a pouťová forma tomu také nepřidala), jednak bylo IMHO vydáno se zbytečně dlouhým předstihem.
Rezza avatar 19.4.2016 13:08 Rezza | skóre: 25 | blog: rezza | Brno
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
Tak verim, ze jednoho dne se o CVE budou tocit i ty vyse uvedene filmy :). Na druhou stranu je fajn, ze se o CVE a ruznych security chybach zacina mluvit. Spousta lidi, co by podobne veci mela vedet nema o podobnych vecech ani poneti. Coz je presne duvod, proc se kolem spousty dela tenhle umely rozruch. V ramci priprav na LibreOffice Conference byl minuly tyden v Brne Italo z TDF a rikal, ze kdyz prezentuji bezpecnost LO, tak malo kdo neco tusi o jakychkoliv CVE a to jak ve firmach, tak statni sprave (asi neprekvapive).
20.4.2016 11:03 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
len by som dodal, ze aj napriek celej tej PR okolo Badlocku a planu o uvolnovani zaplat pred 12. aprilom to bolo aj tak cele nanic (aspon pre nas). opravene baliky (aspon tie v centos6) su kompletne nepouzitelne, nakolko sa breakuje trust relationship medzi domenovym kontrolerom (samba NT4 domena) a klientom. a pokazi sa to v akejkolvek kombinacii:
  • fixnuty klient (winbind) voci nefixnutemu PDC
  • nefixnuty klient (winbind) voci fixnutemu PDC
  • fixnuty klient (winbind) voci fixnutemu PDC
  • windows client (fixnuty resp nefixnuty) voci fixnutemu PDC
takze aj tak sme robili rollback nakolko sluzby nefungovali vobec. a cakame ked vydaju zaplatu na fix :)
bugreporty na tieto problemy su uz povytvarane, sledujem to a cakam na updates :)
ale samozrejme vsetka cest chalanom co na tom robia. podla popisu a dostupnych info sa fakt nejedna o jednoduche fixy. takisto backportovanie patchov do samba 3.6. z popisu nevyzera na trivialnu zalezitost. len na to, ake to bolo PR a ake mali plany na zaciatku to nakoniec nedopadlo uplne podla predstav...
20.4.2016 11:53 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
samba NT4 domena
Když někdo používá naprosto mrtvou věc, která především defaultně nefunguje na klientech už od verze Windows 7, tak se nemůže divit, že.
20.4.2016 13:48 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
tak se nemůže divit

jedna sa uz o legacy zalezitost, to suhlasim, avsak stale podporovanu ci uz na klientoch alebo serveroch. zaroven (ako asi viete), plne funkcna AD domena sa s distribucnou sambou 4 na RHEL/CentOS systemoch doteraz neda nasadit (tusim konflikt rozdielnych kerberos implementacii v systeme vs v sambe) - nemam info o tom ze by sa nieco v tomto smere zlepsilo. no a na zaver su tu historicke dovody a komplexnost prechodu, nakolko na authentifikacny backend (LDAP) je naviazanych kvantum sluzieb. tento typ domeny dozije spolu s RHEL6 - a to myslim ze na tom je podobne stale dost organizacii.

takze comu sa vlastne nemame nemam divit? je niekde napisane ze podpora pre NT4 domains bola dropnuta od posledneho hotfixu? myslim ze tu ste trocha mimo. ak nieco ma byt podporovane a po fixe prestane chodit, tak je to asi regresia, ktora (pre zachovanie funkcnosti sluzby) by mala byt skvor ci neskvor opravena. skvor by som sa divil, keby nebola.

20.4.2016 14:19 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
Tak jinak - ta NT-style domain věc je mrtvá jako koncept od vydání serverových Windows 2000 (přes 15 let). Vás nějaký Badlock hype vůbec nemusí vzrušovat, když to celé máte děravé jako cedník. Pokud je RHEL pro AD DC nepoužitelný, tak je holt nepoužitelný, pořiďte si něco s aktuální Sambou nebo OS od Microsoftu. Svět je fakt úplně jinde.

Krom toho, výkonově to je s jakýmikoliv novějšími Windows naprostá tragédie.
20.4.2016 18:34 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
Krom toho, výkonově to je s jakýmikoliv novějšími Windows naprostá tragédie.
Konkrétně co je výkonově tragédie? Novější Windows jsou už W7 nebo Server 2012? Historicky mám instalaci Samby s NT4 doménou pro více než 400 PC, a nějak zatím není důvod to Samba řešení upgradovat na AD...

Vás nějaký Badlock hype vůbec nemusí vzrušovat, když to celé máte děravé jako cedník.
Co je tam děravé? Provoz s NT4 doménou je minimálně na W7 Microsoftem standardně podporovaná věc.
20.4.2016 19:00 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
Konkrétně co je výkonově tragédie? Novější Windows jsou už W7 nebo Server 2012?
Rychlost přenosu souborů, samozřejmě. "Novější" v tomhle směru jsou už Visty, a čím novější, tím větší tragédie to je, pokud ty Samba 3.x hrůzy porovnáte s aktuálními serverovými verzemi Windows.
Provoz s NT4 doménou je minimálně na W7 Microsoftem standardně podporovaná věc.
Jistě. Až na to, že se k té doméně se standardně nastavenými W7 vůbec nejde připojit. Viz.
20.4.2016 20:36 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
Co si tak pamatuju, tak SMB/CIFS propustností nevynikal nikdy, ať bylo na koncích cokoli…
20.4.2016 21:52 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Jak byla bezpečnostní chyba Badlock objevena a následně opravena
Rychlost přenosu souborů, samozřejmě. "Novější" v tomhle směru jsou už Visty, a čím novější, tím větší tragédie to je, pokud ty Samba 3.x hrůzy porovnáte s aktuálními serverovými verzemi Windows.
Samba 3 dokonce ještě z Debianu Squeeze <-> Windows Server 2012 dokáže přes CIFS 100% vytížit Gigabit Ethernet při kopírování souboru oběma směry. Kde je ten problém? Přes linky s delší latencí to je horší, ale to není všude významný use-case, a proti Windows Serveru ta rychlost zas tak moc lepší není.
Jistě. Až na to, že se k té doméně se standardně nastavenými W7 vůbec nejde připojit. Viz.
Ano, vyžaduje to tohle nastavení, stejně jako u Windows 7 měním po čisté instalaci obdobným způsobem dalších 20 věcí, aby to fungovalo tak jak je potřeba. Je to standardně zdokumentovaná konfigurace: https://technet.microsoft.com/en-us/library/ee681622(v=ws.10).aspx takže co? Ta technologie samozřejmě nenabízí funkce srovnatelné s AD, ale v řadě případů se bez nich dá bez citelných omezení fungovat.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.