Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Samba-Lücke: Jeder darf jedes Passwort ändern

Mitglied: colinardo

colinardo (Level 5) - Jetzt verbinden

13.03.2018, aktualisiert 13:07 Uhr, 2411 Aufrufe, 19 Kommentare, 2 Danke

An alle die Samba4 als DC in einem AD betreiben, sollten schleunigst die aktuellen Patches einspielen:
Samba-Lücke: Jeder darf jedes Passwort ändern

Die Lücke erlaubt es jedem jedes Kennwort der Domäne (selbst die von Dienstkonten und Admins) zu ändern und die Secrets auszulesen. (Da wird ja der Hund in der Pfanne verrückt)

Weitere Infos zur Lücke finden sich hier:
https://wiki.samba.org/index.php/CVE-2018-1057
Mitglied: certifiedit.net
13.03.2018 um 18:45 Uhr
Soviel zum Thema viele Augen Prinzip - seit wann gibt es nochmals Samba4Alpha13? und nutzt das Limux auch? ein Schelm...
Bitte warten ..
Mitglied: chgorges
13.03.2018 um 23:02 Uhr
Univention hat bereits Patches online https://www.univention.de/news/blog-de/
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 11:00 Uhr
Zitat von certifiedit.net:

Soviel zum Thema viele Augen Prinzip -

Ja du hast Recht, das wird vom Marktführer alles viel besser gelöst.

Zitat von certifiedit.net:

nutzt das Limux auch?

Solange innerhalb des Limuxprojekts nicht auf Microsoftshares zugegriffen werden muss, wohl eher nicht.
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018 um 11:14 Uhr
Das vielleicht nicht, aber beim Marktführer wird gerne das Argument vorgebracht, dass nicht "viele Augen" draufschauen können - u.a auch bei der Reportage - wenn nun so ein Ding (u.a wie auch Heartbleed) 5 Jahre sein Unwesen treiben kann, dann ist da nicht mehr viel über vom Argument.

Da man undogmatisch wohl nie von beiden Welten komplett los kommt wohl eher mehr als weniger.
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 11:25 Uhr
Ist dein Bashing damit nun besser geworden, gerade auch, weil du hier hämisch und völlig unqualifiziert versuchst, Limux ins Feld zu führen?
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018, aktualisiert um 11:30 Uhr
Ich führe nur den dir sicher wohlbekannten ÖR MS Film und die OSS-Dogmatiker vor.

Fühlst du dich gebissen, weil ein weiterer Teil der Argumentationskette offensichtlich gerissen ist - OK!

Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."


Ich sehe das nicht als Bashing, sondern lediglich als eine Art "Spiegel vorhalten".


Übrigens: Ich nutze auch gerne Linux und OS. Nur eben nicht dogmatisch.
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 11:39 Uhr
Zitat von certifiedit.net:

Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."

Du hast wieder Recht, denn solange Microsoftnutzer durch den Marktführer selbst ausgespäht werden und keiner so genau weiß, was da nun wirklich passiert, ist Vertrauen angesagt. Und Vertrauen ist rein menschlich gesehen doch immer gut, oder?
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018 um 11:48 Uhr
Zitat von Winuser:

Zitat von certifiedit.net:

Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden..."

Du hast wieder Recht, denn solange Microsoftnutzer durch den Marktführer selbst ausgespäht werden und keiner so genau weiß, was da nun wirklich passiert, ist Vertrauen angesagt. Und Vertrauen ist rein menschlich gesehen doch immer gut, oder?

Das kann, muss aber nicht sein, möglich ist es, sicherlich, aber, wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde...

Vertrauen ist gut, Kontrolle wird groß geschrieben, versagt aber, also kann man aus dem Aspekt auch gleich bei MS bleiben.

Wie hat es einer im Heise Forum geschrieben? Am besten lässt man sowohl von OSS als auch CSS direkt die Finger.
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 12:13 Uhr
Zitat von certifiedit.net:

wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde...


Hä? Die Lücke in Samba, die dann durch Leute vom SambaTeam selbst gefunden und behoben wurde?

Zitat von certifiedit.net:

Vertrauen ist gut, Kontrolle wird groß geschrieben, versagt aber, also kann man aus dem Aspekt auch gleich bei MS bleiben.

Diese Logik und Wortakrobatik ist in meinen Augen schlicht dümmlich.

Ich sag es ja andauernd: Du hast mit deinen Aussagen, zumindest für dich selbst, Recht.
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018 um 12:52 Uhr
Hä? Die Lücke in Samba, die dann durch Leute vom SambaTeam **{nach 5 Jahren}* * selbst gefunden und behoben wurde?

Also widersprichst du der Aussage, dass gerade das Debakel gezeigt hat, dass das Viele Augen Prinzip (OSS Dogmatisch: besser) hier eindeutig versagt hat?

Du sagst selbst, wie auch richtig erkannt, dass das Samba Team ein schwerwiegendes Problem (erst) nach 5 Jahren erkannt hat. Wo ist hier das viele Augen Prinzip der Community geblieben. Sprich, wo ist der Mehrwert durch offene Quellen zur Bug und Problembeseitigung?

Dümmlich ist, was du interpretierst. Gratuliere.
Bitte warten ..
Mitglied: Winuser
14.03.2018, aktualisiert um 14:41 Uhr
Zitat von certifiedit.net:

Hä? Die Lücke in Samba, die dann durch Leute vom SambaTeam **{nach 5 Jahren}* * selbst gefunden und behoben wurde?

Also widersprichst du der Aussage, dass gerade das Debakel gezeigt hat, dass das Viele Augen Prinzip (OSS Dogmatisch: besser) hier eindeutig versagt hat?

Ich widerspreche lediglich deiner substanzlose Suggestivfrage vom Vorpost:

Zitat von certifiedit.net: ...wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde...


die du hier jetzt großzügigerweise wegläßt und nebenbei etwas in meinen Text hämmest, wie es dir gerade passt. So debattiert man doch nicht.

Zitat von certifiedit.net:
Du sagst selbst, wie auch richtig erkannt, dass das Samba Team ein schwerwiegendes Problem (erst) nach 5 Jahren erkannt hat. Wo ist hier das viele Augen Prinzip der Community geblieben. Sprich, wo ist der Mehrwert durch offene Quellen zur Bug und Problembeseitigung?


Ich weiß nicht, worauf du hinaus willst. Hättest du etwas mehr Sachverständnis müsste dir der Begriff WannaCry bestimmt noch etwas sagen, wo bis zu 16 Jahre alte Systeme (SMB) und das teilweise sehr widerwillig von MS gepatcht werden mussten. Auch so Aussagen wie:

Zitat von certifiedit.net:

also kann man aus dem Aspekt auch gleich bei MS bleiben.

sind angesichts der vielen Backup NAS innerhalb einer AD fachlich so flach (zudem es hier um gar kein Wechsel ging), dass man da schon mit dem Kopf schütteln musst. Was ist nochmal dein Beruf?

Wie du hier zu diesem Level (Quantität ist alles) gekommen bist, ist mir zumindest sonnenklar.
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018 um 15:26 Uhr
Ich vermute, du postest den Schrott hier nur zusammen, weil es dir um etwas persönliches geht. Das mag so sein, besser wird es durch deine haltlosen Angriffe dennoch nicht.

Nun, weisst du, ob die Lücke nicht bewusst einprogrammiert wurde - auch in diesen Teams soll es Änderungen in der Besetzung geben? Bei MS ist es dir offensichtlich klar, dass per se die NSA dahintersteckt, Linuxianer sind per se White Hats? Bitte, ....

Nochmals: Ich sage nicht, das MS/CSS besser ist, ich sage aber, dass OSS dies auch nicht unbedingt ist...

Deine Haltung zeugt eher davon, dass das arme OS Projekt nicht mit gleicher Wertung verglichen werden darf.

Sachverstand darf also eher auf deiner Seite angezweifelt werden....

Wie gesagt, ich sehe hier ein persönliches Ding, wenn du das klären willst, schreib mir eine direkte Mail.
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 16:02 Uhr
Zitat von certifiedit.net:

Nun, weisst du, ob die Lücke nicht bewusst einprogrammiert wurde - auch in diesen Teams soll es Änderungen in der Besetzung geben? Bei MS ist es dir offensichtlich klar, dass per se die NSA dahintersteckt, Linuxianer sind per se White Hats? Bitte, ....

Bravo, du hast deine Vermutungen, Sichtweisen und Vorurteile gerade selbst zum Besten gegeben.

Zitat von certifiedit.net:

Wie gesagt, ich sehe hier ein persönliches Ding, wenn du das klären willst, schreib mir eine direkte Mail.

Weil man dein leeres Gebashe und offensichtliches Geflame gegen Linux nicht hinnehmen möchte?
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018 um 16:18 Uhr
Hehe, ein Schelm.

inhaltsleeres schreibst nur du, (womöglich) um von der Kernaussage abzulenken - viele Augen Prinzip ist für die Katz. siehe oben. Bringe Gegenbeweise.

Ansonsten, wenn du gerne weiter beim persönlichen "flamen und bashen" bleiben willst - bringe keine und damit deinem "qualitativen" Stil treu.
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 17:33 Uhr
Die zusammenfassenden Fragen, die du dir eventuell stellen solltest:

Bin ich überhaupt fachlich im Stande, mir eine differenzierte Meinung zu Themen zu bilden, obwohl ich überhaupt nicht im Bild bin (siehe: " und nutzt das Limux auch" oder "also kann man aus dem Aspekt auch gleich bei MS bleiben" ) ?

Sind meine Vermutungen überhaupt sachdienlich, wenn ich versuche mit "hätte, könnte, wenn und aber" zu argumentieren (siehe "wer sagt denn, dass die Lücke hier nicht bewusst einprogrammiert wurde..." oder "Was, "wenn ganze Serverlandschaften nur durch die dogmatische Nutzung von Samba4 statt eines MS' AD ausgespäht wurden...""), obwohl ich nach wie vor nicht im Bild bin?

Kann ich tatsächlich das Viele-Augen-Prinzip" von OSS in Frage stellen, weil mir die Zeit zur Entdeckung zu lang erscheint und gleichzeitig begünstigend auf einen Hersteller von proprietärer Software verweisen, der für eine schwerwiegende Lücke schon mal das dreifache an Zeit braucht?

Anmerkung: Im Grunde genommen, und ich verweise mal auf WannaCry, scheint das Viele-Augen-Prinzip somit besser zu funktionieren.

Mache ich OSS schlechter als nötig und blicke ich deshalb von oben herab (siehe "armes OS") , weil das ein Thema ist, was ich nicht ansatzweise verstehe und beherrsche?


Schreibe ich hier nur, weil ich ich ein höheres Level erreichen möchte?
Bitte warten ..
Mitglied: certifiedit.net
14.03.2018, aktualisiert 15.03.2018
Mh, na gut, jetzt hast du aufgezeigt, wie oft du meine Beiträge quer gelesen hast. Siehst du, hat doch einen tieferen Zweck.

Verstanden, dass OSS und CSS bei mir auf einem Level ist und undogmatisch behandelt wird, hast du anscheinend nicht. Eine gewisse Schadenfreude gegenüber der dogmatischen OSS:1, CSS:0 Fraktion kann und will ich natürlich nicht verleugnen. Das Verhalten die eine Methodik gegenüber der anderen zu bevorzugen erachte ich beispielsweise als arm.

Kleine Anmerkung: Herausgefunden hat es nicht die Community ("viele Augen"), sondern der "Hersteller" (OSS=CSS), Zugewinn durch quelloffene Software, 0. Das Argument "viele Augen sehen mehr" ist damit ein Scheinargument, um zu vertuschen, dass viele Augen eben auch bedeutend dazu übergehen, dass "der andere schon aufpasst", was die Sicherheit von Linux in Gänze eher bedroht, als die Sicherheit von Windows.


Vielleicht bist du persönlich über den Fortgang von Limux auch angekratzt...scheinbar ist das bei der heutigen Jugend leicht zu triggern.

Daher der Ansatz, nein, ich mache OSS nur so schlecht wie nötig, damit nicht der eine oder andere darauf herein fällt, dass auch OSS nur ein Stück Software ist, nicht schlechter, aber oftmals auch nicht besser als CSS - der Kostenfaktor bleibt hierbei oft auch nur bei privater Nutzung pro OSS - und selbst hier ist er offen.

Ob ich im Bild bin, oder einfach deinem Frame weit überblicke belasse ich offen, dir scheint es nach wie vor um etwas persönliches zu gehen, dem du so genüge tun willst. Dazu habe ich einen Tipp: Bei Heise gibt es massig solcher Leute, vermutlich sammelst du dort dein Quantum Beiträge. Hier verpestest du nur die Luft. Deine Sachkenntniss liest sich sehr leicht aus den gestellten Fragen...:D
Bitte warten ..
Mitglied: Winuser
14.03.2018 um 21:03 Uhr
Zitat von certifiedit.net:

Kleine Anmerkung: Herausgefunden hat es nicht die Community ("viele Augen"), sondern der "Hersteller" (OSS=CSS), Zugewinn durch quelloffene Software, 0. Das Argument "viele Augen sehen mehr" ist damit ein Scheinargument, um zu vertuschen, dass viele Augen eben auch bedeutend dazu übergehen, dass "der andere schon aufpasst", was die Sicherheit von Linux in Gänze eher bedroht, als die Sicherheit von Windows.

Stimmt, auch hier sehe ich klare Vorteile beim Marktführer. Die konnten CVE-2017-0144 selber überhaupt nicht finden.



Zitat von certifiedit.net:
Dazu habe ich einen Tipp: Bei Heise gibt es massig solcher Leute.

Ja, ich denke auch, dass du dort bereits ganz schön was abbekommen hast.
Bitte warten ..
Ähnliche Inhalte
Sicherheit

Heute ist "Ändere dein Passwort" Tag

Information von transoceanSicherheit11 Kommentare

Moinsen, eigentlich wäre das ja ein passendes Freitagsthema. Über Sinn oder Unsinn streiten die Experten ja schon seit mehreren ...

Sicherheit

SMB 1.0 - neue Lücken

Information von DerWoWussteSicherheit3 Kommentare

und, waren wir alle brav und haben SMB 1 vorsorglich abgeschaltet? ->die nächsten Lücken: Edit - ups, letztere ist ...

Vmware

VMware Updates gegen L1 Lücke

Information von sabinesVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Windows 10

Zero-Day-Lücke in Microsoft Edge

Information von kgbornWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Neue Wissensbeiträge
Windows Netzwerk

CGM Praxisarchiv funktioniert auf Clients nach Update auf 4.14 nicht mehr

Tipp von MOS6581 vor 3 StundenWindows Netzwerk

Moin, ein Kunde setzt das CGM-Praxisarchiv ein. Mehrplatzinstallation mit SQL-Server. Nachdem letzte Woche auf die 4.14 aktualisiert wurde, funktionierte ...

Windows 10

Win 10 - Storage Sense - neues herstellerseitiges Cleaning-Tool statt cleanmgr

Tipp von mathu vor 10 StundenWindows 101 Kommentar

Vermutlich ab dem Oktoberrelease wird eine neue Speicherbereinigungssuftware ausgeliefert von Microsoft. Cleanmgr.exe soll angeblich aber noch weiter parallel verfügbar ...

E-Mail
Neueste Masche der Bad Guys: Offene Erpressung
Information von the-buccaneer vor 1 TagE-Mail14 Kommentare

"Warum den komplizierten Weg über einen Kryptotrojaner nehmen, wenn man die Leute auch direkt erpressen kann?" haben sich wohl ...

Viren und Trojaner
Neues ct-desinfect 2018 erschienen
Information von Lochkartenstanzer vor 1 TagViren und Trojaner

Moin, heise hat eine neues Sonderheft Desinfect veröffentlicht (9,90€/12,90€) . Falls jemand öfter mal Kisten "säubern" muß ist das ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Kombiniere mehrere 4G Router zu einem Netzwerk - Anwendung kleine LAN (10-20 Leute)
Frage von HulkTheHeroLAN, WAN, Wireless22 Kommentare

Guten Mittag liebes Administrator - Fourm, ich hoffe ich habe das richtige Thema ausgewählt - ansonsten bitte gerne verschieben ...

Firewall
Blocken illegaler Film-Streams
gelöst Frage von CoreknabeFirewall20 Kommentare

Moin Wissende, unsere kleine Hochschule möchte gern das illegale Streaming von Kinofilmen und Serien unterbinden. Wir sperren bisher alle ...

Windows Server
2012 R2 Server Keine Anmeldung möglich Meldung: Laut den Sicherheitsrichtlinien auf diesem PC sollen informationen zur letzten interaktiven Anmeldung angezeigt werden
Frage von Speedy18A4Windows Server19 Kommentare

Hallo, ich habe vor einigen Wochen einen zweiten Domain Controller zu meiner Domain hinzugefügt. Funktionierte alles wunderbar. Auch die ...

iOS
Virus auf iphone
Frage von jensgebkeniOS17 Kommentare

hallo gemeinschaft, habe einen virus auf meinem iphone es kommen zwei meldungsfenster 1. online-2018-software-free.win 2. wpform.com - please click ...