SMB-Bug: Handlungsbedarf für v7 Server mit Samba Version 4.7 +

Hallo.
Soeben wurde mir mitgeteilt, dass:

– und dass auch Samba betroffen ist:
https://www.samba.org/samba/security/CVE-2020-1472.html

Da steht also schwarz auf weiß:

Therefore versions 4.8 and above are not vulnerable unless they have the smb.conf lines 
'server schannel = no' or 'server schannel = auto'. Samba versions 4.7 and below are 
vulnerable unless they have 'server schannel = yes' in the smb.conf.

Da wir auf dem v7-Server die Version

 samba   2:4.7.6+dfsg~ubuntu-0ubuntu2.19

fahren, besteht also Handlungsbedarf für alle

VG,
Michael

Hallo Michael!

Hast du mal geschaut was bei server schannel eingetragen ist?
Ist also no oder auto eingetragen?
Wenn dem nicht so ist oder server schannel garnicht gesetzt ist (dann nämlich default = yes) dann betrifft das unsere 7er gar nicht.

siehe auch: https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html Abschnitt server schannel

Beste Grüße

Thorsten

PS: Streiche default = yes setze auto (Mist)

Hallo Thorsten,
die Meldung verstehe ich zunächst anders – bist du sicher, dass sich dein Link auch auf 4.7 bezieht?
Ich habe die Option bei mir jedenfalls eingefügt – vorher stand in der smb.conf gar nichts dergleichen… wenn es ein Fehlalarm war und die Option mit yes sowieso per default gesetzt ist: umso besser …

VG,
Michael

OK!

Hab nochmal nachgeschlagen: Bei der 4.7 ist default = auto :sleepy:

https://www.samba.org/samba/docs/4.7/man-html/smb.conf.5.html

Also Handlungsbedarf! @Maurice

Danke an @Michael fürs Nachfassen und beste Grüße

Thorsten

Hallo in die Runde,

ich habe jetzt in einer aktuellen LML v7 Installation (Version: 7.0.79-0ubuntu0) das Exploit-Testscript (siehe https://github.com/SecuraBV/CVE-2020-1472) laufen lassen:

mxxxx@server:~/CVE-2020-1472$ ./zerologon_tester.py SERVER 10.16.1.1
Performing authentication attempts...
=========================================[...]
Attack failed. Target is probably patched.

So wie es aussieht, scheint es auch bei der momentanen default-Konfiguration kein akutes Problem zu sein, auch wenn es natürlich dafür keine Gewähr gibt…

Beste Grüße

Moritz

PS: Samba Version 4.7.6-Ubuntu

1 „Gefällt mir“

Das ist beruhigend zu lesen, Moritz!