colinardo
Goto Top

Samba-Lücke: Jeder darf jedes Passwort ändern

An alle die Samba4 als DC in einem AD betreiben, sollten schleunigst die aktuellen Patches einspielen:
Samba-Lücke: Jeder darf jedes Passwort ändern

Die Lücke erlaubt es jedem jedes Kennwort der Domäne (selbst die von Dienstkonten und Admins) zu ändern und die Secrets auszulesen. (Da wird ja der Hund in der Pfanne verrückt)

Weitere Infos zur Lücke finden sich hier:
https://wiki.samba.org/index.php/CVE-2018-1057

Content-Key: 367901

Url: https://administrator.de/contentid/367901

Printed on: June 12, 2024 at 14:06 o'clock

Member: emeriks
emeriks Mar 13, 2018 at 12:07:56 (UTC)
Goto Top
Member: colinardo
colinardo Mar 13, 2018 at 12:11:07 (UTC)
Goto Top
Member: falscher-sperrstatus
falscher-sperrstatus Mar 13, 2018 at 17:45:30 (UTC)
Goto Top
Soviel zum Thema viele Augen Prinzip - seit wann gibt es nochmals Samba4Alpha13? und nutzt das Limux auch? face-smile ein Schelm...
Member: chgorges
chgorges Mar 13, 2018 at 22:02:24 (UTC)
Goto Top
Univention hat bereits Patches online https://www.univention.de/news/blog-de/
Member: Winuser
Winuser Mar 14, 2018 at 10:00:02 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

Soviel zum Thema viele Augen Prinzip -

Ja du hast Recht, das wird vom Marktführer alles viel besser gelöst.

Zitat von @falscher-sperrstatus:

nutzt das Limux auch? face-smile

Solange innerhalb des Limuxprojekts nicht auf Microsoftshares zugegriffen werden muss, wohl eher nicht.
Member: falscher-sperrstatus
falscher-sperrstatus Mar 14, 2018 at 10:14:36 (UTC)
Goto Top
Das vielleicht nicht, aber beim Marktführer wird gerne das Argument vorgebracht, dass nicht "viele Augen" draufschauen können - u.a auch bei der Reportage - wenn nun so ein Ding (u.a wie auch Heartbleed) 5 Jahre sein Unwesen treiben kann, dann ist da nicht mehr viel über vom Argument.

Da man undogmatisch wohl nie von beiden Welten komplett los kommt wohl eher mehr als weniger.
Member: Winuser
Winuser Mar 14, 2018 at 10:25:30 (UTC)
Goto Top
Ist dein Bashing damit nun besser geworden, gerade auch, weil du hier hämisch und völlig unqualifiziert versuchst, Limux ins Feld zu führen?
Member: falscher-sperrstatus
falscher-sperrstatus Mar 14, 2018 updated at 10:30:00 (UTC)
Goto Top
Ich führe nur den dir sicher wohlbekannten ÖR MS Film und die OSS-Dogmatiker vor.

Fühlst du dich gebissen, weil ein weiterer Teil der Argumentationskette offensichtlich gerissen ist - OK!

Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."


Ich sehe das nicht als Bashing, sondern lediglich als eine Art "Spiegel vorhalten".


Übrigens: Ich nutze auch gerne Linux und OS. Nur eben nicht dogmatisch.
Member: Winuser
Winuser Mar 14, 2018 at 10:39:33 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."

Du hast wieder Recht, denn solange Microsoftnutzer durch den Marktführer selbst ausgespäht werden und keiner so genau weiß, was da nun wirklich passiert, ist Vertrauen angesagt. Und Vertrauen ist rein menschlich gesehen doch immer gut, oder?
Member: falscher-sperrstatus
falscher-sperrstatus Mar 14, 2018 at 10:48:55 (UTC)
Goto Top
Zitat von @Winuser:

Zitat von @falscher-sperrstatus:

Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."

Du hast wieder Recht, denn solange Microsoftnutzer durch den Marktführer selbst ausgespäht werden und keiner so genau weiß, was da nun wirklich passiert, ist Vertrauen angesagt. Und Vertrauen ist rein menschlich gesehen doch immer gut, oder?

Das kann, muss aber nicht sein, möglich ist es, sicherlich, aber, wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde...

Vertrauen ist gut, Kontrolle wird groß geschrieben, versagt aber, also kann man aus dem Aspekt auch gleich bei MS bleiben.

Wie hat es einer im Heise Forum geschrieben? Am besten lässt man sowohl von OSS als auch CSS direkt die Finger.
Member: Winuser
Winuser Mar 14, 2018 at 11:13:06 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde...


Hä? Die Lücke in Samba, die dann durch Leute vom SambaTeam selbst gefunden und behoben wurde?

Zitat von @falscher-sperrstatus:

Vertrauen ist gut, Kontrolle wird groß geschrieben, versagt aber, also kann man aus dem Aspekt auch gleich bei MS bleiben.

Diese Logik und Wortakrobatik ist in meinen Augen schlicht dümmlich.

Ich sag es ja andauernd: Du hast mit deinen Aussagen, zumindest für dich selbst, Recht.
Member: falscher-sperrstatus
falscher-sperrstatus Mar 14, 2018 at 11:52:34 (UTC)
Goto Top
Hä? Die Lücke in Samba, die dann durch Leute vom SambaTeam {nach 5 Jahren} selbst gefunden und behoben wurde?

Also widersprichst du der Aussage, dass gerade das Debakel gezeigt hat, dass das Viele Augen Prinzip (OSS Dogmatisch: besser) hier eindeutig versagt hat?

Du sagst selbst, wie auch richtig erkannt, dass das Samba Team ein schwerwiegendes Problem (erst) nach 5 Jahren erkannt hat. Wo ist hier das viele Augen Prinzip der Community geblieben. Sprich, wo ist der Mehrwert durch offene Quellen zur Bug und Problembeseitigung?

Dümmlich ist, was du interpretierst. Gratuliere.
Member: Winuser
Winuser Mar 14, 2018 updated at 13:41:11 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

Hä? Die Lücke in Samba, die dann durch Leute vom SambaTeam {nach 5 Jahren} selbst gefunden und behoben wurde?

Also widersprichst du der Aussage, dass gerade das Debakel gezeigt hat, dass das Viele Augen Prinzip (OSS Dogmatisch: besser) hier eindeutig versagt hat?

Ich widerspreche lediglich deiner substanzlose Suggestivfrage vom Vorpost:

Zitat von @falscher-sperrstatus: ...wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde...


die du hier jetzt großzügigerweise wegläßt und nebenbei etwas in meinen Text hämmest, wie es dir gerade passt. So debattiert man doch nicht.

Zitat von @falscher-sperrstatus:
Du sagst selbst, wie auch richtig erkannt, dass das Samba Team ein schwerwiegendes Problem (erst) nach 5 Jahren erkannt hat. Wo ist hier das viele Augen Prinzip der Community geblieben. Sprich, wo ist der Mehrwert durch offene Quellen zur Bug und Problembeseitigung?


Ich weiß nicht, worauf du hinaus willst. Hättest du etwas mehr Sachverständnis müsste dir der Begriff WannaCry bestimmt noch etwas sagen, wo bis zu 16 Jahre alte Systeme (SMB) und das teilweise sehr widerwillig von MS gepatcht werden mussten. Auch so Aussagen wie:

Zitat von @falscher-sperrstatus:

also kann man aus dem Aspekt auch gleich bei MS bleiben.

sind angesichts der vielen Backup NAS innerhalb einer AD fachlich so flach (zudem es hier um gar kein Wechsel ging), dass man da schon mit dem Kopf schütteln musst. Was ist nochmal dein Beruf?

Wie du hier zu diesem Level (Quantität ist alles) gekommen bist, ist mir zumindest sonnenklar.
Member: falscher-sperrstatus
falscher-sperrstatus Mar 14, 2018 at 14:26:17 (UTC)
Goto Top
Ich vermute, du postest den Schrott hier nur zusammen, weil es dir um etwas persönliches geht. Das mag so sein, besser wird es durch deine haltlosen Angriffe dennoch nicht.

Nun, weisst du, ob die Lücke nicht bewusst einprogrammiert wurde - auch in diesen Teams soll es Änderungen in der Besetzung geben? Bei MS ist es dir offensichtlich klar, dass per se die NSA dahintersteckt, Linuxianer sind per se White Hats? Bitte, ....

Nochmals: Ich sage nicht, das MS/CSS besser ist, ich sage aber, dass OSS dies auch nicht unbedingt ist...

Deine Haltung zeugt eher davon, dass das arme OS Projekt nicht mit gleicher Wertung verglichen werden darf.

Sachverstand darf also eher auf deiner Seite angezweifelt werden....

Wie gesagt, ich sehe hier ein persönliches Ding, wenn du das klären willst, schreib mir eine direkte Mail.
Member: Winuser
Winuser Mar 14, 2018 at 15:02:49 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

Nun, weisst du, ob die Lücke nicht bewusst einprogrammiert wurde - auch in diesen Teams soll es Änderungen in der Besetzung geben? Bei MS ist es dir offensichtlich klar, dass per se die NSA dahintersteckt, Linuxianer sind per se White Hats? Bitte, ....

Bravo, du hast deine Vermutungen, Sichtweisen und Vorurteile gerade selbst zum Besten gegeben.

Zitat von @falscher-sperrstatus:

Wie gesagt, ich sehe hier ein persönliches Ding, wenn du das klären willst, schreib mir eine direkte Mail.

Weil man dein leeres Gebashe und offensichtliches Geflame gegen Linux nicht hinnehmen möchte?
Member: falscher-sperrstatus
falscher-sperrstatus Mar 14, 2018 at 15:18:52 (UTC)
Goto Top
Hehe, ein Schelm.

inhaltsleeres schreibst nur du, (womöglich) um von der Kernaussage abzulenken - viele Augen Prinzip ist für die Katz. siehe oben. Bringe Gegenbeweise.

Ansonsten, wenn du gerne weiter beim persönlichen "flamen und bashen" bleiben willst - bringe keine und damit deinem "qualitativen" Stil treu.
Member: Winuser
Winuser Mar 14, 2018 at 16:33:29 (UTC)
Goto Top
Die zusammenfassenden Fragen, die du dir eventuell stellen solltest:

Bin ich überhaupt fachlich im Stande, mir eine differenzierte Meinung zu Themen zu bilden, obwohl ich überhaupt nicht im Bild bin (siehe: " und nutzt das Limux auch" oder "also kann man aus dem Aspekt auch gleich bei MS bleiben" ) ?

Sind meine Vermutungen überhaupt sachdienlich, wenn ich versuche mit "hätte, könnte, wenn und aber" zu argumentieren (siehe "wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde..." oder "Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden...""), obwohl ich nach wie vor nicht im Bild bin?

Kann ich tatsächlich das Viele-Augen-Prinzip" von OSS in Frage stellen, weil mir die Zeit zur Entdeckung zu lang erscheint und gleichzeitig begünstigend auf einen Hersteller von proprietärer Software verweisen, der für eine schwerwiegende Lücke schon mal das dreifache an Zeit braucht?

Anmerkung: Im Grunde genommen, und ich verweise mal auf WannaCry, scheint das Viele-Augen-Prinzip somit besser zu funktionieren.

Mache ich OSS schlechter als nötig und blicke ich deshalb von oben herab (siehe "armes OS") , weil das ein Thema ist, was ich nicht ansatzweise verstehe und beherrsche?


Schreibe ich hier nur, weil ich ich ein höheres Level erreichen möchte?
Member: falscher-sperrstatus
falscher-sperrstatus Mar 14, 2018, updated at Mar 15, 2018 at 08:59:03 (UTC)
Goto Top
Mh, na gut, jetzt hast du aufgezeigt, wie oft du meine Beiträge quer gelesen hast. Siehst du, hat doch einen tieferen Zweck.

Verstanden, dass OSS und CSS bei mir auf einem Level ist und undogmatisch behandelt wird, hast du anscheinend nicht. Eine gewisse Schadenfreude gegenüber der dogmatischen OSS:1, CSS:0 Fraktion kann und will ich natürlich nicht verleugnen. Das Verhalten die eine Methodik gegenüber der anderen zu bevorzugen erachte ich beispielsweise als arm.

Kleine Anmerkung: Herausgefunden hat es nicht die Community ("viele Augen"), sondern der "Hersteller" (OSS=CSS), Zugewinn durch quelloffene Software, 0. Das Argument "viele Augen sehen mehr" ist damit ein Scheinargument, um zu vertuschen, dass viele Augen eben auch bedeutend dazu übergehen, dass "der andere schon aufpasst", was die Sicherheit von Linux in Gänze eher bedroht, als die Sicherheit von Windows.


Vielleicht bist du persönlich über den Fortgang von Limux auch angekratzt...scheinbar ist das bei der heutigen Jugend leicht zu triggern.

Daher der Ansatz, nein, ich mache OSS nur so schlecht wie nötig, damit nicht der eine oder andere darauf herein fällt, dass auch OSS nur ein Stück Software ist, nicht schlechter, aber oftmals auch nicht besser als CSS - der Kostenfaktor bleibt hierbei oft auch nur bei privater Nutzung pro OSS - und selbst hier ist er offen.

Ob ich im Bild bin, oder einfach deinem Frame weit überblicke belasse ich offen, dir scheint es nach wie vor um etwas persönliches zu gehen, dem du so genüge tun willst. Dazu habe ich einen Tipp: Bei Heise gibt es massig solcher Leute, vermutlich sammelst du dort dein Quantum Beiträge. Hier verpestest du nur die Luft. Deine Sachkenntniss liest sich sehr leicht aus den gestellten Fragen...:D
Member: Winuser
Winuser Mar 14, 2018 at 20:03:39 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

Kleine Anmerkung: Herausgefunden hat es nicht die Community ("viele Augen"), sondern der "Hersteller" (OSS=CSS), Zugewinn durch quelloffene Software, 0. Das Argument "viele Augen sehen mehr" ist damit ein Scheinargument, um zu vertuschen, dass viele Augen eben auch bedeutend dazu übergehen, dass "der andere schon aufpasst", was die Sicherheit von Linux in Gänze eher bedroht, als die Sicherheit von Windows.

Stimmt, auch hier sehe ich klare Vorteile beim Marktführer. Die konnten CVE-2017-0144 selber überhaupt nicht finden.


Zitat von @falscher-sperrstatus:
Dazu habe ich einen Tipp: Bei Heise gibt es massig solcher Leute. face-smile

Ja, ich denke auch, dass du dort bereits ganz schön was abbekommen hast.