Podrobnosti o bezpečnostní chybě Badlock zveřejněny (diskuse)

debian nema zaplatu ? ako zistim ci moja 3.6.6 to uz ma opravene ?

13.4.2016 08:59 R
Rozbalit Rozbalit vše Re: Podrobnosti o bezpečnostní chybě Badlock zveřejněny

Zatial nema.

13.4.2016 10:26 MP
Rozbalit Rozbalit vše Re: Podrobnosti o bezpečnostní chybě Badlock zveřejněny

Dle badlock.org je oficialni oprava pouze pro podporovane verze samby, tzn. 4.2 a vyse. Takze nizsi verze jsou v libovuli distribuci, ktere je distribuji.

13.4.2016 13:18 Tassadar | skóre: 11 | blog: Lorris | Brno
Rozbalit Rozbalit vše Re: Podrobnosti o bezpečnostní chybě Badlock zveřejněny

Vzhledem k počtu commitů (2 stránky začínají na CVE) se nejedná zrovna o one-line-fix (nebo berou security by obscurity fakt vážně..), maintainerům může chvilku trvat, než to vyluští. Škoda, že taky nepopsali, co se tam vlastně jako dělo :/

return 4;

13.4.2016 13:44 MP
Rozbalit Rozbalit vše Re: Podrobnosti o bezpečnostní chybě Badlock zveřejněny

Trochu laictejsi popis je tu http://arstechnica.com/security/2016/04/yes-badlock-bug-was-shamelessly-hyped-but-the-threat-is-real/

13.4.2016 23:12 R
Rozbalit Rozbalit vše Re: Podrobnosti o bezpečnostní chybě Badlock zveřejněny

Uz je 2:3.6.6-6+deb7u9. Uvidime, kolko bude regresii a dalsich oprav...

14.4.2016 10:25 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Podrobnosti o bezpečnostní chybě Badlock zveřejněny

podobny update pre samba 3.6.23 spravili aj pre RHEL6/Centos6. avsak po aplikacii opraveneho balika (2.6.23-30) prestali fungovat trusted relationship medzi domain klientmi a kontrolerom (klasicka NT4-compatible domena s LDAP backendom) a nefungovali niektorym ludom ani shary.
tusim je to prvy krat co sa to takto dokazilo po upgrade. takze rollback (na 2.6.23-25) a cakam na opravu opravy :) a zvazujem bugreport.

14.4.2016 13:18 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Podrobnosti o bezpečnostní chybě Badlock zveřejněny

Myslis https://bugzilla.redhat.com/show_bug.cgi?id=1316298? Ja se teda v sambe nevyznam, ale zkusil jsem ten bug najit :)

I can only show you the door. You're the one that has to walk through it.

14.4.2016 14:11 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Podrobnosti o bezpečnostní chybě Badlock zveřejněny

podla tych malo informacii to celkom moze byt related. taktiez je to jediny open ticket pre sambu v RHEL6 :). diky

14.4.2016 10:44 MP
Rozbalit Rozbalit vše Re: Podrobnosti o bezpečnostní chybě Badlock zveřejněny

To je zajimavy, ze v Debian Jessie nahradili verzi 4.1x za 4.2x ...A pak, ze to nedelaji.

14.4.2016 13:45 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Podrobnosti o bezpečnostní chybě Badlock zveřejněny

Zkuste si těch 213 commitů backportovat do větve 4.1 a třeba vám to pak bude připadat méně "zajímavé".

13.4.2016 14:42 Ivan2 | skóre: 5
Rozbalit Rozbalit vše Re: Podrobnosti o bezpečnostní chybě Badlock zveřejněny

Takovehle chyby davaji slovu "stabilni" uplne jiny vyznam.