19
Samba-Lücke: Jeder darf jedes Passwort ändern
An alle die Samba4 als DC in einem AD betreiben, sollten schleunigst die aktuellen Patches einspielen:
Samba-Lücke: Jeder darf jedes Passwort ändern
Die Lücke erlaubt es jedem jedes Kennwort der Domäne (selbst die von Dienstkonten und Admins) zu ändern und die Secrets auszulesen. (Da wird ja der Hund in der Pfanne verrückt)
Weitere Infos zur Lücke finden sich hier:
https://wiki.samba.org/index.php/CVE-2018-1057
Samba-Lücke: Jeder darf jedes Passwort ändern
Die Lücke erlaubt es jedem jedes Kennwort der Domäne (selbst die von Dienstkonten und Admins) zu ändern und die Secrets auszulesen. (Da wird ja der Hund in der Pfanne verrückt)
Weitere Infos zur Lücke finden sich hier:
https://wiki.samba.org/index.php/CVE-2018-1057
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 367901
Url: https://administrator.de/contentid/367901
Ausgedruckt am: 15.11.2024 um 13:11 Uhr
19 Kommentare
Neuester Kommentar
Soviel zum Thema viele Augen Prinzip - seit wann gibt es nochmals Samba4Alpha13? und nutzt das Limux auch? 
ein Schelm...
ein Schelm...
Univention hat bereits Patches online https://www.univention.de/news/blog-de/
Ja du hast Recht, das wird vom Marktführer alles viel besser gelöst.
Solange innerhalb des Limuxprojekts nicht auf Microsoftshares zugegriffen werden muss, wohl eher nicht.
Das vielleicht nicht, aber beim Marktführer wird gerne das Argument vorgebracht, dass nicht "viele Augen" draufschauen können - u.a auch bei der Reportage - wenn nun so ein Ding (u.a wie auch Heartbleed) 5 Jahre sein Unwesen treiben kann, dann ist da nicht mehr viel über vom Argument.
Da man undogmatisch wohl nie von beiden Welten komplett los kommt wohl eher mehr als weniger.
Da man undogmatisch wohl nie von beiden Welten komplett los kommt wohl eher mehr als weniger.
Ist dein Bashing damit nun besser geworden, gerade auch, weil du hier hämisch und völlig unqualifiziert versuchst, Limux ins Feld zu führen?
Ich führe nur den dir sicher wohlbekannten ÖR MS Film und die OSS-Dogmatiker vor.
Fühlst du dich gebissen, weil ein weiterer Teil der Argumentationskette offensichtlich gerissen ist - OK!
Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."
Ich sehe das nicht als Bashing, sondern lediglich als eine Art "Spiegel vorhalten".
Übrigens: Ich nutze auch gerne Linux und OS. Nur eben nicht dogmatisch.
Fühlst du dich gebissen, weil ein weiterer Teil der Argumentationskette offensichtlich gerissen ist - OK!
Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."
Ich sehe das nicht als Bashing, sondern lediglich als eine Art "Spiegel vorhalten".
Übrigens: Ich nutze auch gerne Linux und OS. Nur eben nicht dogmatisch.
Zitat von @certifiedit.net:
Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."
Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."
Du hast wieder Recht, denn solange Microsoftnutzer durch den Marktführer selbst ausgespäht werden und keiner so genau weiß, was da nun wirklich passiert, ist Vertrauen angesagt. Und Vertrauen ist rein menschlich gesehen doch immer gut, oder?
Zitat von @Winuser:
Du hast wieder Recht, denn solange Microsoftnutzer durch den Marktführer selbst ausgespäht werden und keiner so genau weiß, was da nun wirklich passiert, ist Vertrauen angesagt. Und Vertrauen ist rein menschlich gesehen doch immer gut, oder?
Zitat von @certifiedit.net:
Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."
Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."
Du hast wieder Recht, denn solange Microsoftnutzer durch den Marktführer selbst ausgespäht werden und keiner so genau weiß, was da nun wirklich passiert, ist Vertrauen angesagt. Und Vertrauen ist rein menschlich gesehen doch immer gut, oder?
Das kann, muss aber nicht sein, möglich ist es, sicherlich, aber, wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde...
Vertrauen ist gut, Kontrolle wird groß geschrieben, versagt aber, also kann man aus dem Aspekt auch gleich bei MS bleiben.
Wie hat es einer im Heise Forum geschrieben? Am besten lässt man sowohl von OSS als auch CSS direkt die Finger.
Zitat von @certifiedit.net:
wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde...
wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde...
Hä? Die Lücke in Samba, die dann durch Leute vom SambaTeam selbst gefunden und behoben wurde?
Zitat von @certifiedit.net:
Vertrauen ist gut, Kontrolle wird groß geschrieben, versagt aber, also kann man aus dem Aspekt auch gleich bei MS bleiben.
Diese Logik und Wortakrobatik ist in meinen Augen schlicht dümmlich.Vertrauen ist gut, Kontrolle wird groß geschrieben, versagt aber, also kann man aus dem Aspekt auch gleich bei MS bleiben.
Ich sag es ja andauernd: Du hast mit deinen Aussagen, zumindest für dich selbst, Recht.
Hä? Die Lücke in Samba, die dann durch Leute vom SambaTeam {nach 5 Jahren} selbst gefunden und behoben wurde?
Also widersprichst du der Aussage, dass gerade das Debakel gezeigt hat, dass das Viele Augen Prinzip (OSS Dogmatisch: besser) hier eindeutig versagt hat?
Du sagst selbst, wie auch richtig erkannt, dass das Samba Team ein schwerwiegendes Problem (erst) nach 5 Jahren erkannt hat. Wo ist hier das viele Augen Prinzip der Community geblieben. Sprich, wo ist der Mehrwert durch offene Quellen zur Bug und Problembeseitigung?
Dümmlich ist, was du interpretierst. Gratuliere.
Zitat von @certifiedit.net:
Also widersprichst du der Aussage, dass gerade das Debakel gezeigt hat, dass das Viele Augen Prinzip (OSS Dogmatisch: besser) hier eindeutig versagt hat?
Hä? Die Lücke in Samba, die dann durch Leute vom SambaTeam {nach 5 Jahren} selbst gefunden und behoben wurde?
Also widersprichst du der Aussage, dass gerade das Debakel gezeigt hat, dass das Viele Augen Prinzip (OSS Dogmatisch: besser) hier eindeutig versagt hat?
Ich widerspreche lediglich deiner substanzlose Suggestivfrage vom Vorpost:
Zitat von @certifiedit.net: ...wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde...
die du hier jetzt großzügigerweise wegläßt und nebenbei etwas in meinen Text hämmest, wie es dir gerade passt. So debattiert man doch nicht.
Zitat von @certifiedit.net:
Du sagst selbst, wie auch richtig erkannt, dass das Samba Team ein schwerwiegendes Problem (erst) nach 5 Jahren erkannt hat. Wo ist hier das viele Augen Prinzip der Community geblieben. Sprich, wo ist der Mehrwert durch offene Quellen zur Bug und Problembeseitigung?
Du sagst selbst, wie auch richtig erkannt, dass das Samba Team ein schwerwiegendes Problem (erst) nach 5 Jahren erkannt hat. Wo ist hier das viele Augen Prinzip der Community geblieben. Sprich, wo ist der Mehrwert durch offene Quellen zur Bug und Problembeseitigung?
Ich weiß nicht, worauf du hinaus willst. Hättest du etwas mehr Sachverständnis müsste dir der Begriff WannaCry bestimmt noch etwas sagen, wo bis zu 16 Jahre alte Systeme (SMB) und das teilweise sehr widerwillig von MS gepatcht werden mussten. Auch so Aussagen wie:
sind angesichts der vielen Backup NAS innerhalb einer AD fachlich so flach (zudem es hier um gar kein Wechsel ging), dass man da schon mit dem Kopf schütteln musst. Was ist nochmal dein Beruf?
Wie du hier zu diesem Level (Quantität ist alles) gekommen bist, ist mir zumindest sonnenklar.
Ich vermute, du postest den Schrott hier nur zusammen, weil es dir um etwas persönliches geht. Das mag so sein, besser wird es durch deine haltlosen Angriffe dennoch nicht.
Nun, weisst du, ob die Lücke nicht bewusst einprogrammiert wurde - auch in diesen Teams soll es Änderungen in der Besetzung geben? Bei MS ist es dir offensichtlich klar, dass per se die NSA dahintersteckt, Linuxianer sind per se White Hats? Bitte, ....
Nochmals: Ich sage nicht, das MS/CSS besser ist, ich sage aber, dass OSS dies auch nicht unbedingt ist...
Deine Haltung zeugt eher davon, dass das arme OS Projekt nicht mit gleicher Wertung verglichen werden darf.
Sachverstand darf also eher auf deiner Seite angezweifelt werden....
Wie gesagt, ich sehe hier ein persönliches Ding, wenn du das klären willst, schreib mir eine direkte Mail.
Nun, weisst du, ob die Lücke nicht bewusst einprogrammiert wurde - auch in diesen Teams soll es Änderungen in der Besetzung geben? Bei MS ist es dir offensichtlich klar, dass per se die NSA dahintersteckt, Linuxianer sind per se White Hats? Bitte, ....
Nochmals: Ich sage nicht, das MS/CSS besser ist, ich sage aber, dass OSS dies auch nicht unbedingt ist...
Deine Haltung zeugt eher davon, dass das arme OS Projekt nicht mit gleicher Wertung verglichen werden darf.
Sachverstand darf also eher auf deiner Seite angezweifelt werden....
Wie gesagt, ich sehe hier ein persönliches Ding, wenn du das klären willst, schreib mir eine direkte Mail.
Zitat von @certifiedit.net:
Nun, weisst du, ob die Lücke nicht bewusst einprogrammiert wurde - auch in diesen Teams soll es Änderungen in der Besetzung geben? Bei MS ist es dir offensichtlich klar, dass per se die NSA dahintersteckt, Linuxianer sind per se White Hats? Bitte, ....
Bravo, du hast deine Vermutungen, Sichtweisen und Vorurteile gerade selbst zum Besten gegeben.Nun, weisst du, ob die Lücke nicht bewusst einprogrammiert wurde - auch in diesen Teams soll es Änderungen in der Besetzung geben? Bei MS ist es dir offensichtlich klar, dass per se die NSA dahintersteckt, Linuxianer sind per se White Hats? Bitte, ....
Zitat von @certifiedit.net:
Wie gesagt, ich sehe hier ein persönliches Ding, wenn du das klären willst, schreib mir eine direkte Mail.
Wie gesagt, ich sehe hier ein persönliches Ding, wenn du das klären willst, schreib mir eine direkte Mail.
Weil man dein leeres Gebashe und offensichtliches Geflame gegen Linux nicht hinnehmen möchte?
Hehe, ein Schelm.
inhaltsleeres schreibst nur du, (womöglich) um von der Kernaussage abzulenken - viele Augen Prinzip ist für die Katz. siehe oben. Bringe Gegenbeweise.
Ansonsten, wenn du gerne weiter beim persönlichen "flamen und bashen" bleiben willst - bringe keine und damit deinem "qualitativen" Stil treu.
inhaltsleeres schreibst nur du, (womöglich) um von der Kernaussage abzulenken - viele Augen Prinzip ist für die Katz. siehe oben. Bringe Gegenbeweise.
Ansonsten, wenn du gerne weiter beim persönlichen "flamen und bashen" bleiben willst - bringe keine und damit deinem "qualitativen" Stil treu.
Die zusammenfassenden Fragen, die du dir eventuell stellen solltest:
Bin ich überhaupt fachlich im Stande, mir eine differenzierte Meinung zu Themen zu bilden, obwohl ich überhaupt nicht im Bild bin (siehe: " und nutzt das Limux auch" oder "also kann man aus dem Aspekt auch gleich bei MS bleiben" ) ?
Sind meine Vermutungen überhaupt sachdienlich, wenn ich versuche mit "hätte, könnte, wenn und aber" zu argumentieren (siehe "wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde..." oder "Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden...""), obwohl ich nach wie vor nicht im Bild bin?
Kann ich tatsächlich das Viele-Augen-Prinzip" von OSS in Frage stellen, weil mir die Zeit zur Entdeckung zu lang erscheint und gleichzeitig begünstigend auf einen Hersteller von proprietärer Software verweisen, der für eine schwerwiegende Lücke schon mal das dreifache an Zeit braucht?
Anmerkung: Im Grunde genommen, und ich verweise mal auf WannaCry, scheint das Viele-Augen-Prinzip somit besser zu funktionieren.
Mache ich OSS schlechter als nötig und blicke ich deshalb von oben herab (siehe "armes OS") , weil das ein Thema ist, was ich nicht ansatzweise verstehe und beherrsche?
Schreibe ich hier nur, weil ich ich ein höheres Level erreichen möchte?
Bin ich überhaupt fachlich im Stande, mir eine differenzierte Meinung zu Themen zu bilden, obwohl ich überhaupt nicht im Bild bin (siehe: " und nutzt das Limux auch" oder "also kann man aus dem Aspekt auch gleich bei MS bleiben" ) ?
Sind meine Vermutungen überhaupt sachdienlich, wenn ich versuche mit "hätte, könnte, wenn und aber" zu argumentieren (siehe "wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde..." oder "Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden...""), obwohl ich nach wie vor nicht im Bild bin?
Kann ich tatsächlich das Viele-Augen-Prinzip" von OSS in Frage stellen, weil mir die Zeit zur Entdeckung zu lang erscheint und gleichzeitig begünstigend auf einen Hersteller von proprietärer Software verweisen, der für eine schwerwiegende Lücke schon mal das dreifache an Zeit braucht?
Anmerkung: Im Grunde genommen, und ich verweise mal auf WannaCry, scheint das Viele-Augen-Prinzip somit besser zu funktionieren.
Mache ich OSS schlechter als nötig und blicke ich deshalb von oben herab (siehe "armes OS") , weil das ein Thema ist, was ich nicht ansatzweise verstehe und beherrsche?
Schreibe ich hier nur, weil ich ich ein höheres Level erreichen möchte?
Mh, na gut, jetzt hast du aufgezeigt, wie oft du meine Beiträge quer gelesen hast. Siehst du, hat doch einen tieferen Zweck.
Verstanden, dass OSS und CSS bei mir auf einem Level ist und undogmatisch behandelt wird, hast du anscheinend nicht. Eine gewisse Schadenfreude gegenüber der dogmatischen OSS:1, CSS:0 Fraktion kann und will ich natürlich nicht verleugnen. Das Verhalten die eine Methodik gegenüber der anderen zu bevorzugen erachte ich beispielsweise als arm.
Kleine Anmerkung: Herausgefunden hat es nicht die Community ("viele Augen"), sondern der "Hersteller" (OSS=CSS), Zugewinn durch quelloffene Software, 0. Das Argument "viele Augen sehen mehr" ist damit ein Scheinargument, um zu vertuschen, dass viele Augen eben auch bedeutend dazu übergehen, dass "der andere schon aufpasst", was die Sicherheit von Linux in Gänze eher bedroht, als die Sicherheit von Windows.
Vielleicht bist du persönlich über den Fortgang von Limux auch angekratzt...scheinbar ist das bei der heutigen Jugend leicht zu triggern.
Daher der Ansatz, nein, ich mache OSS nur so schlecht wie nötig, damit nicht der eine oder andere darauf herein fällt, dass auch OSS nur ein Stück Software ist, nicht schlechter, aber oftmals auch nicht besser als CSS - der Kostenfaktor bleibt hierbei oft auch nur bei privater Nutzung pro OSS - und selbst hier ist er offen.
Ob ich im Bild bin, oder einfach deinem Frame weit überblicke belasse ich offen, dir scheint es nach wie vor um etwas persönliches zu gehen, dem du so genüge tun willst. Dazu habe ich einen Tipp: Bei Heise gibt es massig solcher Leute, vermutlich sammelst du dort dein Quantum Beiträge. Hier verpestest du nur die Luft. Deine Sachkenntniss liest sich sehr leicht aus den gestellten Fragen...:D
Verstanden, dass OSS und CSS bei mir auf einem Level ist und undogmatisch behandelt wird, hast du anscheinend nicht. Eine gewisse Schadenfreude gegenüber der dogmatischen OSS:1, CSS:0 Fraktion kann und will ich natürlich nicht verleugnen. Das Verhalten die eine Methodik gegenüber der anderen zu bevorzugen erachte ich beispielsweise als arm.
Kleine Anmerkung: Herausgefunden hat es nicht die Community ("viele Augen"), sondern der "Hersteller" (OSS=CSS), Zugewinn durch quelloffene Software, 0. Das Argument "viele Augen sehen mehr" ist damit ein Scheinargument, um zu vertuschen, dass viele Augen eben auch bedeutend dazu übergehen, dass "der andere schon aufpasst", was die Sicherheit von Linux in Gänze eher bedroht, als die Sicherheit von Windows.
Vielleicht bist du persönlich über den Fortgang von Limux auch angekratzt...scheinbar ist das bei der heutigen Jugend leicht zu triggern.
Daher der Ansatz, nein, ich mache OSS nur so schlecht wie nötig, damit nicht der eine oder andere darauf herein fällt, dass auch OSS nur ein Stück Software ist, nicht schlechter, aber oftmals auch nicht besser als CSS - der Kostenfaktor bleibt hierbei oft auch nur bei privater Nutzung pro OSS - und selbst hier ist er offen.
Ob ich im Bild bin, oder einfach deinem Frame weit überblicke belasse ich offen, dir scheint es nach wie vor um etwas persönliches zu gehen, dem du so genüge tun willst. Dazu habe ich einen Tipp: Bei Heise gibt es massig solcher Leute, vermutlich sammelst du dort dein Quantum Beiträge. Hier verpestest du nur die Luft. Deine Sachkenntniss liest sich sehr leicht aus den gestellten Fragen...:D
Zitat von @certifiedit.net:
Kleine Anmerkung: Herausgefunden hat es nicht die Community ("viele Augen"), sondern der "Hersteller" (OSS=CSS), Zugewinn durch quelloffene Software, 0. Das Argument "viele Augen sehen mehr" ist damit ein Scheinargument, um zu vertuschen, dass viele Augen eben auch bedeutend dazu übergehen, dass "der andere schon aufpasst", was die Sicherheit von Linux in Gänze eher bedroht, als die Sicherheit von Windows.
Stimmt, auch hier sehe ich klare Vorteile beim Marktführer. Die konnten CVE-2017-0144 selber überhaupt nicht finden.Kleine Anmerkung: Herausgefunden hat es nicht die Community ("viele Augen"), sondern der "Hersteller" (OSS=CSS), Zugewinn durch quelloffene Software, 0. Das Argument "viele Augen sehen mehr" ist damit ein Scheinargument, um zu vertuschen, dass viele Augen eben auch bedeutend dazu übergehen, dass "der andere schon aufpasst", was die Sicherheit von Linux in Gänze eher bedroht, als die Sicherheit von Windows.
Ja, ich denke auch, dass du dort bereits ganz schön was abbekommen hast.
