[FUG-BR] [OT] Samba 0day

[Antônio Pessoa]

2010/2/7 Luiz Gustavo S. Costa <luizgustavo em luizgustavo.pro.br>
>
> pelo o que estou entendendo, nao foi um furo de seguranca ou um bug,
> mas uma opcao que vem setada como YES por default que deixa o sistema
> menos seguro.
>
> Fazendo uma analogia, seria algo assim:
>
> "Voce prefere o trinco da sua porta pra fora ou pra dentro de casa ?
> ... por padrao, deixamos a entrada da chave do trinco pra fora para
> facilitar o acesso, se fizermos ao contrario, necessitaremos fazer um
> furo na porta (problema estetico) para que voce possa ter acesso ao
> trinco."
>
> Entao fica como opcao, priva-se a seguranca em prol da performance (ou
> estetica na analogia).
>
> enfim....
>
> Ambiente e' ambiente.....
>

Não, é um bug, dos feios. O cliente do SAMBA não deixa que você crie
este tipo de link por questões de segurança, mesmo com o "wide links =
yes". Mas a validação da dessa segurança era feita também pelo
cliente, o que torna a validação porca, pois o código do cliente pode
ser modificado e compilado, e foi exatamente isso que o que ele fez.
Se você não fizer as modificações que ele efetuou no código, não ai
conseguir reproduzir o bug.

--
Antônio Rogério Lins de A. Pessoa
Técnico em Tecnologia da Informação
CREA-PE