muss da noch jemand an den für Gäste beschreibbaren Briefkasten in OS X denken? Gleich mal SMB abschalten...

maybeapreacher:

Erklärung, Hintergrund und Abhilfe:

Samba Blog: Symlink attack

Das Samba (SMB) von Mac OS X 10.6 "Snow Leopard" ist irgendwie verbuggt.
Mit Windows hapert's auch manchmal, kann das nicht an einem Beispiel festmachen, habe aber den Eindruck, daß es klemmt.

Los Apple! Tu was sinnvolles und korrigiere das!!!!

sierkb: Danke für den Link. Als sicherheitsbewusster Admin hat man gleich nach der Meldung auf heise-security natürlich entsprechende Dokumente gelesen

Ich wollte nur darauf aufmerksam machen, dass Samba, und damit auch der Bug, auch auf unserem Lieblingssystem "verfügbar" ist.

maybeaprecher, das weiß ich, daß die Lücke auch bei uns vorhanden ist.

Nutzt MS auch Samba?

dom_beta: Jup, Du weißt es sierkb und einige andere auch. Die meisten anderen wohl aber nicht unbedingt auf Anhieb.

Nein, MS benutzt nicht die Software vom Samba-Projekt, sondern eine eigene Implementation des SMB (Server Message Block) Protokolls.

dom_beta:

Jein. Nicht Samba, sondern das Original, SMB. Samba ist eine Open-Source Reimplementierung von SMB und CIFS, vor allem dem SMB/CIFS, welches Microsoft in seinen Domänen-Controllern einsetzt. Samba ist jahrelang ohne Zugriff auf Microsofts Quelltexte quasi per Reverse-Engineering und allein durch "Abhören" des SMB-Kommunikationsverkehrs nachgebaut worden.

Unter dem Eindruck eines der EU-Kartellverfahren gegen Microsoft zur Offenlegung gewisser Schnittstellen und Spezifikationen, gelang es der an Samba federführend beteiligten deutschen Firma SerNet im Jahre 2007 gegen eine Summ von 10.000 Euro legal eine SMB-Spezifikation von Microsoft zu kaufen und sie dem Samba-Projekt zur Verfügung zu stellen.
Anhand dieser Spezifikation konnten die Samba-Ingenieure, die Samba bisher "blind" und im bloßen Vertrauen auf ihre Protokoll- und Messergebnisse gebaut hatten, überprüfen, ob sie ihre Arbeit bisher korrekt und richtig gemacht hatten. Das hatten sie, teilweise sogar besser als Microsoft seine Original-SMB-Implementierung.
Seitdem fließen diese Kenntnisse in die Weiterentwicklung von Samba ein, testweise in Samba 4 und dann zurückportiert in das stabile Samba 3.x.

Wikipedia: Server Message Block (SMB)/CIFS
Wikipedia: Samba

heise: Samba-Entwickler arbeitet für Microsoft
Pro Linux: Samba erhält Microsoft-Spezifikationen
heise: Eitel Freude über den Microsoft-Samba-Deal
heise: Open-Source-Entwickler erhalten Zugang zu Microsofts Server-Protokollen
heise: SerNet: Microsoft soll SMB/CIFS-Protokoll offenlegen

Samba, eingesetzt auf Linux-Servern, soll dem Vernehmen nach durchschnittlich sogar performanter und problemloser zu betreiben sein als ein Original Windows NT-Domänen-Controller mit Microsofts SMB-Implementierung. Windows-Clients, die auf ein solches Samba-Netzwerk zugreifen, merken nicht, dass sie eigentlich mit einem Linux-Server via Samba kommunizieren -- für sie erscheint der Domänen-Controller als ein normaler Windows (NT)-Server.

Nachtrag:

Seit der durch das EU-Kartellverfahren erzwungenen Öffnung Microsofts zu mehr Interoperabilität mit seinen Mitbewerbern und der daraus folgenden Zugänglichmachung der SMB-Spezifikation von Microsoft an SerNet/Samba, arbeiten auf diesem Gebiet Microsoft und das Samba-Team offiziell enger zusammen und tauschen sich untereinander wieder aus, wie man an solchen Meldungen

heise: Samba-Entwickler arbeitet für Microsoft

bemerken kann.

Auch ist Microsoft auf einigen Samba-Entwickler-Konferenzen mit seinen Leuten vertreten und sponsort Samba-Veranstaltungen. Der "kalte Krieg" und die Sprachlosigkeit zwischen den beiden Lagern scheint beendet zu sein, Zusammenarbeit und Austausch ist seitdem angesagt.

Apple hat ständig Probleme mit SMB; die Apple eigenen Foren sind voll davon.

dom_beta:

Vergleiche mal die Versionsnummer von Samba, welches Apple verwendet mit der offiziellen Versionsnummer von samba.org. Apples Versionsnummer hinkt da ordentlich hinterher.
smbd --version sagt mir: Version 3.0.28a-apple, siehe auch .
Aktuelle stabile Version von Samba laut samba.org ist Version 3.5.4 bzw. demnächst 3.5.0rc2. Liest man sich die Changelogs von samba.org durch, so ist da in den letzten offiziellen Upstream-Versionen Einiges an Verbesserungen gerade bzgl. des Zusammenspiels mit neueren, aktuellen Windows-Versionen (Vista und Windows 7) erfolgt.

Ob Apple diese Verbesserungen alle in seine verwendete Version 3.0.28a zurückportiert hat? Ich habe da meine leisen Zweifel, obwohl hier eine Menge Patches zu entdecken sind. Apple täte wahrscheinlich gut daran, seine Samba-Version mal wieder auf einen aktuellen Stand zu heben, der der offiziellen Upstream-Version auf samba.org entspricht.

sierkb, kennst mein Faden hier im Forum wegen dem SMB Problem mit Windows?

dom_beta:

Nein. Ich kann mir aber gut vorstellen, dass es da durchaus wohl zu Problemen kommt bzw. kommen kann gerade im Zusammenspiel mit Vista und W7, wenn ich mir diese Versionsdifferenz zwischen Apples Samba und dem offiziellen Upstream-Samba anschaue...

Zur Not lässt man dann halt das systemeigene Apple-Samba links liegen und installiert sich seine eigene und somit aktuelle Version, z.B. via MacPorts oder eben direkt aus den Quellen bzw. aus dem Tarball.

von mir:

http://www.mactechnews.de/forum/thread.html?id=284546



vom Mike:
http://www.mactechnews.de/forum/thread.html?id=283765

dom_beta:

Warte 10.6.3 ab, da wird Einiges bzgl. SMB gefixt sein; eure Probleme hören sich so an, als könnten sie damit behoben sein -- zumindest sind in den von Dir/euch genannten Problem-Bereichen Fixes getätigt worden, soweit ich das auf die Schnelle überblicken kann.

ja weil wie gesagt, es ist unlogisch eine Authentifizierung zu verlangen wenn der Gast-Account aktiv ist und rein zufällig auf beiden Maschinen Konten existieren, die dieselben Namen haben.

Das ist nämlich schizophren. Zwischen Windows basierten Clients tritt nämlich nicht auf, da wird konsequent der Gast-Zugang verwendet.

Anwenderfehler

user_tron, bei mir? Eher nicht.

"Warte 10.6.3 ab, da wird Einiges bzgl. SMB gefixt sein; eure Probleme hören sich so an, als könnten sie damit behoben sein -- zumindest sind in den von Dir/euch genannten Problem-Bereichen Fixes getätigt worden, soweit ich das auf die Schnelle überblicken kann."

und woran siehst du das? Du schreibst ja "soweit ich das auf die Schnelle überblicken kann"

dom_beta:

Stichwort: Seed Notes...

(entweder direkt via ADC oder eben teilweise geleakt im öffentlichen WWW)

Aha, und welche Adresse muß ich da wählen?
(Apple ID und ADC Mitgliedschaft liegen vor)

dom_beta:

Du musst entweder ADC Premier oder ADC Select Member sein, oder Dir muss ein solches Recht (Zugriff auf Seeds) von einem entspr. Mitglied zuvor übertragen worden sein; einfache ADC-Mitgliedschaft reicht dafür nicht aus.

kannst du auch Bugreports einsehen die über bugreport.apple.com eingereicht wurden?

dom_beta:

Leider nein bzw. nur die, die ich selber eingereicht habe. Nicht aber bzgl. Bugs, die andere Entwickler womöglich parallel oder schon vorher eingereicht haben bzw. von Apple selber geführt werden. Andere Nicht-Apple-Entwickler haben diesen transparenten Zugriff meines Wissens aber auch nicht. Das erschwert von außen kommenden Entwicklern so Manches. Dieses Privileg, wirklich alle Bugs sehen und einsehen bzw. ggf. nach Doubletten und Überschneidungen recherchieren zu können, ist ausschließlich Apple-Mitarbeitern vorbehalten.

Weil das so ist, existiert OpenRadar , wo viele viele Bugs parallel und öffentlich dokumentiert werden (u.a. auch, um bei Apple den Handlungsdruck etwas zu erhöhen und um Entwicklern die Möglichkeit zu geben, sich untereinander auszutauschen und zu recherchieren, was sie über das Apple-interne Bugsystem nicht können bzw. nicht dürfen).

Maßgabe: zwecks leichterer Verfolgung sollten Bugs zuvor in Apples Bugsystem bekannt gemacht worden sein (und damit eine Bugnummer erhalten haben), die Bugnummern in OpenRadar sind identisch (bzw. sollten identisch gewählt sein) mit denjenigen Bug-Nummern, die in Apples internem Bugsystem existieren (siehe dazu auch die Bemerkungen und Anweisungen innerhalb der FAQ von OpenRadar: ). NDA-relevante "confidential information" Informationen, die in Apples Bugreports von Apple an den berichtenden Entwickler gegeben werden, sollte berücksichtigt werden und in OpenRadar nicht öffentlich wiederholt werden -- es sei denn, ein Apple-Entwickler tätigt sie selber an der Stelle.

Es ist nicht so, dass Apples eigene Entwickler OpenRadar nicht kennen würden oder dort nie vorbeischauen würden, sie tun es zuweilen durchaus und schreiben da die eine oder andere öffentliche Bemerkung rein.

sag mal, bist du auch anderweitig zu erreichen?

PS: Die Problematik die ich in meinem Faden erklärt habe

http://www.mactechnews.de/forum/thread.html?id=284546

hast du doch verstanden oder?