Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Samba-Lücke: Jeder darf jedes Passwort ändern

Mitglied: colinardo

colinardo (Level 5) - Jetzt verbinden

13.03.2018, aktualisiert 13:07 Uhr, 3459 Aufrufe, 19 Kommentare, 2 Danke

An alle die Samba4 als DC in einem AD betreiben, sollten schleunigst die aktuellen Patches einspielen:
Samba-Lücke: Jeder darf jedes Passwort ändern

Die Lücke erlaubt es jedem jedes Kennwort der Domäne (selbst die von Dienstkonten und Admins) zu ändern und die Secrets auszulesen. (Da wird ja der Hund in der Pfanne verrückt)

Weitere Infos zur Lücke finden sich hier:
https://wiki.samba.org/index.php/CVE-2018-1057
Mitglied: certifiedit.net
13.03.2018 um 18:45 Uhr
Soviel zum Thema viele Augen Prinzip - seit wann gibt es nochmals Samba4Alpha13? und nutzt das Limux auch? ein Schelm...
Bitte warten ..
Mitglied: chgorges
13.03.2018 um 23:02 Uhr
Univention hat bereits Patches online https://www.univention.de/news/blog-de/
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 11:00 Uhr
Zitat von certifiedit.net:

Soviel zum Thema viele Augen Prinzip -

Ja du hast Recht, das wird vom Marktführer alles viel besser gelöst.

Zitat von certifiedit.net:

nutzt das Limux auch?

Solange innerhalb des Limuxprojekts nicht auf Microsoftshares zugegriffen werden muss, wohl eher nicht.
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018 um 11:14 Uhr
Das vielleicht nicht, aber beim Marktführer wird gerne das Argument vorgebracht, dass nicht "viele Augen" draufschauen können - u.a auch bei der Reportage - wenn nun so ein Ding (u.a wie auch Heartbleed) 5 Jahre sein Unwesen treiben kann, dann ist da nicht mehr viel über vom Argument.

Da man undogmatisch wohl nie von beiden Welten komplett los kommt wohl eher mehr als weniger.
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 11:25 Uhr
Ist dein Bashing damit nun besser geworden, gerade auch, weil du hier hämisch und völlig unqualifiziert versuchst, Limux ins Feld zu führen?
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018, aktualisiert um 11:30 Uhr
Ich führe nur den dir sicher wohlbekannten ÖR MS Film und die OSS-Dogmatiker vor.

Fühlst du dich gebissen, weil ein weiterer Teil der Argumentationskette offensichtlich gerissen ist - OK!

Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."


Ich sehe das nicht als Bashing, sondern lediglich als eine Art "Spiegel vorhalten".


Übrigens: Ich nutze auch gerne Linux und OS. Nur eben nicht dogmatisch.
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 11:39 Uhr
Zitat von certifiedit.net:

Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."

Du hast wieder Recht, denn solange Microsoftnutzer durch den Marktführer selbst ausgespäht werden und keiner so genau weiß, was da nun wirklich passiert, ist Vertrauen angesagt. Und Vertrauen ist rein menschlich gesehen doch immer gut, oder?
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018 um 11:48 Uhr
Zitat von Winuser:

Zitat von certifiedit.net:

Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."

Du hast wieder Recht, denn solange Microsoftnutzer durch den Marktführer selbst ausgespäht werden und keiner so genau weiß, was da nun wirklich passiert, ist Vertrauen angesagt. Und Vertrauen ist rein menschlich gesehen doch immer gut, oder?

Das kann, muss aber nicht sein, möglich ist es, sicherlich, aber, wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde...

Vertrauen ist gut, Kontrolle wird groß geschrieben, versagt aber, also kann man aus dem Aspekt auch gleich bei MS bleiben.

Wie hat es einer im Heise Forum geschrieben? Am besten lässt man sowohl von OSS als auch CSS direkt die Finger.
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 12:13 Uhr
Zitat von certifiedit.net:

wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde...


Hä? Die Lücke in Samba, die dann durch Leute vom SambaTeam selbst gefunden und behoben wurde?

Zitat von certifiedit.net:

Vertrauen ist gut, Kontrolle wird groß geschrieben, versagt aber, also kann man aus dem Aspekt auch gleich bei MS bleiben.

Diese Logik und Wortakrobatik ist in meinen Augen schlicht dümmlich.

Ich sag es ja andauernd: Du hast mit deinen Aussagen, zumindest für dich selbst, Recht.
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018 um 12:52 Uhr
Hä? Die Lücke in Samba, die dann durch Leute vom SambaTeam **{nach 5 Jahren}* * selbst gefunden und behoben wurde?

Also widersprichst du der Aussage, dass gerade das Debakel gezeigt hat, dass das Viele Augen Prinzip (OSS Dogmatisch: besser) hier eindeutig versagt hat?

Du sagst selbst, wie auch richtig erkannt, dass das Samba Team ein schwerwiegendes Problem (erst) nach 5 Jahren erkannt hat. Wo ist hier das viele Augen Prinzip der Community geblieben. Sprich, wo ist der Mehrwert durch offene Quellen zur Bug und Problembeseitigung?

Dümmlich ist, was du interpretierst. Gratuliere.
Bitte warten ..
Mitglied: Winuser
14.03.2018, aktualisiert um 14:41 Uhr
Zitat von certifiedit.net:

Hä? Die Lücke in Samba, die dann durch Leute vom SambaTeam **{nach 5 Jahren}* * selbst gefunden und behoben wurde?

Also widersprichst du der Aussage, dass gerade das Debakel gezeigt hat, dass das Viele Augen Prinzip (OSS Dogmatisch: besser) hier eindeutig versagt hat?

Ich widerspreche lediglich deiner substanzlose Suggestivfrage vom Vorpost:

Zitat von certifiedit.net: ...wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde...


die du hier jetzt großzügigerweise wegläßt und nebenbei etwas in meinen Text hämmest, wie es dir gerade passt. So debattiert man doch nicht.

Zitat von certifiedit.net:
Du sagst selbst, wie auch richtig erkannt, dass das Samba Team ein schwerwiegendes Problem (erst) nach 5 Jahren erkannt hat. Wo ist hier das viele Augen Prinzip der Community geblieben. Sprich, wo ist der Mehrwert durch offene Quellen zur Bug und Problembeseitigung?


Ich weiß nicht, worauf du hinaus willst. Hättest du etwas mehr Sachverständnis müsste dir der Begriff WannaCry bestimmt noch etwas sagen, wo bis zu 16 Jahre alte Systeme (SMB) und das teilweise sehr widerwillig von MS gepatcht werden mussten. Auch so Aussagen wie:

Zitat von certifiedit.net:

also kann man aus dem Aspekt auch gleich bei MS bleiben.

sind angesichts der vielen Backup NAS innerhalb einer AD fachlich so flach (zudem es hier um gar kein Wechsel ging), dass man da schon mit dem Kopf schütteln musst. Was ist nochmal dein Beruf?

Wie du hier zu diesem Level (Quantität ist alles) gekommen bist, ist mir zumindest sonnenklar.
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018 um 15:26 Uhr
Ich vermute, du postest den Schrott hier nur zusammen, weil es dir um etwas persönliches geht. Das mag so sein, besser wird es durch deine haltlosen Angriffe dennoch nicht.

Nun, weisst du, ob die Lücke nicht bewusst einprogrammiert wurde - auch in diesen Teams soll es Änderungen in der Besetzung geben? Bei MS ist es dir offensichtlich klar, dass per se die NSA dahintersteckt, Linuxianer sind per se White Hats? Bitte, ....

Nochmals: Ich sage nicht, das MS/CSS besser ist, ich sage aber, dass OSS dies auch nicht unbedingt ist...

Deine Haltung zeugt eher davon, dass das arme OS Projekt nicht mit gleicher Wertung verglichen werden darf.

Sachverstand darf also eher auf deiner Seite angezweifelt werden....

Wie gesagt, ich sehe hier ein persönliches Ding, wenn du das klären willst, schreib mir eine direkte Mail.
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 16:02 Uhr
Zitat von certifiedit.net:

Nun, weisst du, ob die Lücke nicht bewusst einprogrammiert wurde - auch in diesen Teams soll es Änderungen in der Besetzung geben? Bei MS ist es dir offensichtlich klar, dass per se die NSA dahintersteckt, Linuxianer sind per se White Hats? Bitte, ....

Bravo, du hast deine Vermutungen, Sichtweisen und Vorurteile gerade selbst zum Besten gegeben.

Zitat von certifiedit.net:

Wie gesagt, ich sehe hier ein persönliches Ding, wenn du das klären willst, schreib mir eine direkte Mail.

Weil man dein leeres Gebashe und offensichtliches Geflame gegen Linux nicht hinnehmen möchte?
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018 um 16:18 Uhr
Hehe, ein Schelm.

inhaltsleeres schreibst nur du, (womöglich) um von der Kernaussage abzulenken - viele Augen Prinzip ist für die Katz. siehe oben. Bringe Gegenbeweise.

Ansonsten, wenn du gerne weiter beim persönlichen "flamen und bashen" bleiben willst - bringe keine und damit deinem "qualitativen" Stil treu.
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 17:33 Uhr
Die zusammenfassenden Fragen, die du dir eventuell stellen solltest:

Bin ich überhaupt fachlich im Stande, mir eine differenzierte Meinung zu Themen zu bilden, obwohl ich überhaupt nicht im Bild bin (siehe: " und nutzt das Limux auch" oder "also kann man aus dem Aspekt auch gleich bei MS bleiben" ) ?

Sind meine Vermutungen überhaupt sachdienlich, wenn ich versuche mit "hätte, könnte, wenn und aber" zu argumentieren (siehe "wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde..." oder "Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden...""), obwohl ich nach wie vor nicht im Bild bin?

Kann ich tatsächlich das Viele-Augen-Prinzip" von OSS in Frage stellen, weil mir die Zeit zur Entdeckung zu lang erscheint und gleichzeitig begünstigend auf einen Hersteller von proprietärer Software verweisen, der für eine schwerwiegende Lücke schon mal das dreifache an Zeit braucht?

Anmerkung: Im Grunde genommen, und ich verweise mal auf WannaCry, scheint das Viele-Augen-Prinzip somit besser zu funktionieren.

Mache ich OSS schlechter als nötig und blicke ich deshalb von oben herab (siehe "armes OS") , weil das ein Thema ist, was ich nicht ansatzweise verstehe und beherrsche?


Schreibe ich hier nur, weil ich ich ein höheres Level erreichen möchte?
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018, aktualisiert 15.03.2018
Mh, na gut, jetzt hast du aufgezeigt, wie oft du meine Beiträge quer gelesen hast. Siehst du, hat doch einen tieferen Zweck.

Verstanden, dass OSS und CSS bei mir auf einem Level ist und undogmatisch behandelt wird, hast du anscheinend nicht. Eine gewisse Schadenfreude gegenüber der dogmatischen OSS:1, CSS:0 Fraktion kann und will ich natürlich nicht verleugnen. Das Verhalten die eine Methodik gegenüber der anderen zu bevorzugen erachte ich beispielsweise als arm.

Kleine Anmerkung: Herausgefunden hat es nicht die Community ("viele Augen"), sondern der "Hersteller" (OSS=CSS), Zugewinn durch quelloffene Software, 0. Das Argument "viele Augen sehen mehr" ist damit ein Scheinargument, um zu vertuschen, dass viele Augen eben auch bedeutend dazu übergehen, dass "der andere schon aufpasst", was die Sicherheit von Linux in Gänze eher bedroht, als die Sicherheit von Windows.


Vielleicht bist du persönlich über den Fortgang von Limux auch angekratzt...scheinbar ist das bei der heutigen Jugend leicht zu triggern.

Daher der Ansatz, nein, ich mache OSS nur so schlecht wie nötig, damit nicht der eine oder andere darauf herein fällt, dass auch OSS nur ein Stück Software ist, nicht schlechter, aber oftmals auch nicht besser als CSS - der Kostenfaktor bleibt hierbei oft auch nur bei privater Nutzung pro OSS - und selbst hier ist er offen.

Ob ich im Bild bin, oder einfach deinem Frame weit überblicke belasse ich offen, dir scheint es nach wie vor um etwas persönliches zu gehen, dem du so genüge tun willst. Dazu habe ich einen Tipp: Bei Heise gibt es massig solcher Leute, vermutlich sammelst du dort dein Quantum Beiträge. Hier verpestest du nur die Luft. Deine Sachkenntniss liest sich sehr leicht aus den gestellten Fragen...:D
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 21:03 Uhr
Zitat von certifiedit.net:

Kleine Anmerkung: Herausgefunden hat es nicht die Community ("viele Augen"), sondern der "Hersteller" (OSS=CSS), Zugewinn durch quelloffene Software, 0. Das Argument "viele Augen sehen mehr" ist damit ein Scheinargument, um zu vertuschen, dass viele Augen eben auch bedeutend dazu übergehen, dass "der andere schon aufpasst", was die Sicherheit von Linux in Gänze eher bedroht, als die Sicherheit von Windows.

Stimmt, auch hier sehe ich klare Vorteile beim Marktführer. Die konnten CVE-2017-0144 selber überhaupt nicht finden.



Zitat von certifiedit.net:
Dazu habe ich einen Tipp: Bei Heise gibt es massig solcher Leute.

Ja, ich denke auch, dass du dort bereits ganz schön was abbekommen hast.
Bitte warten ..
Ähnliche Inhalte
iOS
IOS: Passwort-Phishing
Information von sabinesiOS

Ein unglaublich leichter Weg an eine Apple ID zu kommen, wird hier erklärt:

LAN, WAN, Wireless
Cisco ASA Passwort Reset
Anleitung von YannoschLAN, WAN, Wireless4 Kommentare

Hallo zusammen, aus gegebenen Anlass hier eine Anleitung zum Reset des Passworts bei einer Cisco ASA5505. WICHTIG: Ich gebe ...

Microsoft

Windows - vergessenes Passwort wiederherstellen

Anleitung von krx-admMicrosoft8 Kommentare

Habe es selbst mit einem Windows Server 2016 ausprobiert. Hat wunderbar geklappt.

Datenschutz

Datenschutz: gp-pack PaT - Privacy and Telemetry

Information von AnkhMorporkDatenschutz2 Kommentare

Wer sollte das gp-pack kaufen und warum? Wir sind in Deutschland was das Thema Datenschutz betrifft ein bisschen wie ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 3 TagenHumor (lol)6 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 4 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 7 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 7 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Windows Server
Dienstnamen und oder Deutsche und Englische Beschreibung in services.msc gleichzeitig anzeigen
gelöst Frage von vafk18Windows Server23 Kommentare

Guten Morgen, die Suche nach Diensten in services.msc gestaltet sich immer wieder schwierig, weil mir je nach Aufgabe die ...

Windows Server
Kleine Umfrage: Windows Server Desktop oder Core?
Frage von doomfreakWindows Server18 Kommentare

Hey :) Ich wollte mal eine kleine Umfrage hier starten. Ich bin schon etwas länger auf dieser Seite hier ...

JavaScript
Javascript: WebSql
gelöst Frage von internet2107JavaScript17 Kommentare

Guten Morgen zusammen, zunächst einmal einen schönen dritten Advent. Ich habe ein Problem mit Javascript und WebSQL. Bisher habe ...

Microsoft
Lizenzplausibilisierung oder Spam?
Frage von lordimacMicrosoft14 Kommentare

Liebe Forengemeinde, uns erreichte die Tage eine Mail bezüglich einer Lizenzplausibilisierung durch einen Microsoft SAM Partner. Die Meldung im ...