[Samba-it] Samba3, interfaccia web di cambio password.

[Simo]

On Tue, 2014-06-24 at 11:42 +0200, Marco Gaiarin wrote:
> > 	https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=700729
> > 	https://bugzilla.samba.org/show_bug.cgi?id=9668
> > e visto che swat è deprecated, a nessuno sembra avere voglia di
> > sistemare il problema. ;(
> 
> Ok, ho seguito il suggerimento, ho provato a togliere la patch per il
> CVE-2013-0214 (http://www.samba.org/samba/security/CVE-2013-0214), ed
> effettivamente SWAT ha ripreso a funzionare.
> 
> Fatto salvo che si può fare così (se qualcuno sapesse la password di
> qualcun'altro, gli attack vector potrebbero essere altri, non solo
> SWAT), non capisco la patch, che allego.
> 
> Io vedo che:
> 
> 1) in source3/web/cgi.c ''funzionizza'' un pezzo di codice, creando una
>  funzione (cgi_nonce()) per poi riutilizzarla; dubito che da qui
> possano nascere problemi.
> La funzione (o il pezzo di codice che c'era prima ;) estraggono la
> password di root, e se è vuota ne generano una random (che salva nel
> PDB).
> 
> 2) source3/web/swat_proto.h, aggiunge la funzione di cui sopra, ibid.
> 
> 3) in source3/web/swat.c, invece, viene aggiunta una chiamata alla
>  nuova funzione, che in buona sostanza aggiunge alla variabile 'md5_ctx'
> un ulteriore pezzo, estratto con la funzione di cui sopra.
> 
> A naso in 3) cgi_nonce() viene eseguita quando SWAT ha già lasciato i
> permessi di root, quindi cgi_nonce() non riesce a leggere e a scrivere
> nel PDB (quindi gli errori nel log) ma soprattutto genera ogni volta un
> codice diverso, quindi non va (mi vien da dire non si preserva la
> sessione).
> 
> Quindi è palese che questa patch ha magari risolto un problema, ma in
> pratica ammazzato SWAT che ora non funzione se non da utente root.
> 
> 
> Non ho capito, se io faccio una cosa stile:
> 
>  if ( strcmp(username, "root") {
> 	MD5Update(&md5_ctx, (uint8_t *)nonce, strlen(nonce));
>  }
> 
> ovvero ''aggiungo'' l'hash aggiuntivo solo se l'utente è root, commetto
> peccato grave?

Non lo so,  non ho seguito la cosa da vicino, io ho votato per ammazzare
swat e basta :)

> Inoltre, non capisco dove/come swat droppa i privilegi;

Da quel che ricordo swat non droppa i privilegi altrimenti non potrebbe
cambiare le password.

>  l'altra
> alternativa è sempre quella di eseguire 'MD5Update(&md5_ctx, (uint8_t
> *)nonce, strlen(nonce));' ''prima'', salvarsi il risultato da qualche
> parte e usarlo dove serve poi.
> 
> 
> Grazie delle info che vorrete darmi...

Mi spiace non ti posso esser emolto di aiuto qui.

Simo.