The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в утилите smb4k, позволяющая получить права root в системе

14.12.2025 10:37

В утилите smb4k, применяемой в KDE для обнаружения и монтирования SMB-разделов, выявлены уязвимости, позволяющие получить root-доступ к системе. Проблемы устранены в выпуске Smb4K 4.0.5. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, Gentoo, Arch и FreeBSD.

Для выполнения привилегированных действий в smb4k используются KAuth-обработчики, запускаемые с правами root. Уязвимости присутствуют в обработчике Smb4KMountHelper и вызваны тем, что функции для монтирования (CVE-2025-66003) и отмонтирования (CVE-2025-66002) сетевой файловой системы должным образом не фильтровали опции, передаваемые командам mount.cifs и unmount.cifs, что позволяло непривилегированному пользователю передать данным командам любые опции через параметр mh_options.

Например, при помощи опций "filemode=04777,uid=0" всем файлам в примонтированном разделе будет выставлен флаг suid root. Пользователь может запустить SMB-сервер и примонтировать с него собственный раздел с необходимыми исполняемыми файлами, которые при выставлении опций "filemode=04777,uid=0" будут выполнятся с правами root.

В обработчике Smb4KMountHelper также должным образом не проверялись целевые каталоги, что, например, позволяло примонтировать свой SMB-раздел вместо каталога /bin и подставить в него модифицированную версию /bin/bash. Кроме того, через параметр mh_krb5ticket можно изменить путь к файлу с учётными данными Kerberos и добиться вывода содержимого любого файла, например, /etc/shadow, в stderr или публично доступный лог.

Уязвимость в функции Smb4KMountHelper::unmount() может использоваться для вызова отказа в обслуживании через отмонтирование системных разделов, манипулируя содержимым параметра mh_mountpoint. Интересно, что в коде была проверка на тип раздела, которая пропускала только разделы cifs, smbfs и smb3, но в if-блоке для вывода ошибки был пропущен оператор "return" и выполнение не прерывалось.

  1. Главная ссылка к новости (https://security.opensuse.org/...)
  2. OpenNews: Root-уязвимость в KAuth и smb4k
  3. OpenNews: Уязвимость в KDE, позволяющая выполнить код при просмотре списка файлов
  4. OpenNews: Уязвимость в Samba, позволяющая удалённо выполнить код на сервере
  5. OpenNews: Уязвимости в PAM и libblockdev, позволяющие получить права root в системе
  6. OpenNews: Уязвимость в KDE LightDM Greeter, повышающая привилегии с пользователя lightdm до root
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64422-smb4k
Ключевые слова: smb4k, kde
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:07, 14/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    В 2017 году уже была дыра в  KAuth, эксплуатируемая через smb4k. Странно, что тогда smb4k не проверили, ведь проблемы очевидные.
     
     
  • 2.17, Аноним (17), 13:06, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• –5 +/
    > не фильтровали опции

    Ух ты, очередной CVE - и НЕ про дырявую память сишки...

     

  • 1.2, Вознегодовал (?), 11:09, 14/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –7 +/
    Доколе?!! Сколько себя помню, самба всегда была дырой, видать так и останется...
     
     
  • 2.10, Аноним (10), 12:27, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Точнее, архитектура протоколов SMB.
     
     
  • 3.13, mos87 (ok), 12:41, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    только к архитектуре протоколов SMB данная дыра вроде отношения особо не имеет.
     
  • 3.14, soarin (ok), 12:42, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > Уязвимости присутствуют в обработчике Smb4KMountHelper и вызваны тем, что функции для монтирования (CVE-2025-66003) и отмонтирования (CVE-2025-66002) сетевой файловой системы должным образом не фильтровали опции, передаваемые командам mount.cifs и unmount.cifs, что позволяло непривилегированному пользователю передать данным командам любые опции через параметр mh_options.

    Только тут вообще не про архитектуру протоколов SMB

     

  • 1.6, Пуп (?), 11:25, 14/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    KDE всегда KDE.
    Но красивое.
     
     
  • 2.12, mos87 (ok), 12:40, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    кросивое?? да оно только абсолютно_вырвиглазным из коробки перестало быть, когда стали нечто похожее на вынь10 лепить по умолчанию.
     
  • 2.18, Аноним (17), 13:08, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    > KDE. Но красивое.

    Qt интерфейс никогда красивостью не отмечался.

     
     
  • 3.20, Аноним (20), 13:49, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Поэтому разработчиками KDE был создан фреймворк Kirigami.
     

  • 1.8, Аноним (8), 11:48, 14/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > но в if-блоке для вывода ошибки был пропущен оператор "return" и выполнение не прерывалось.

    ну вот к чему приводит "неявный" (забытый) return 0; :)

     
     
  • 2.33, Аноним (33), 20:14, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    кто сказал что забытый, может его специально не добавили, пользователь сказал отмонтировать чтото, какие тут проверки и отказы, можешь - делай. варнинг можно добавить, посмотреть потом как часто в логах будет мелькать.
     

  • 1.11, Аноним (11), 12:33, 14/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Не знал, что smb4k еще жив. Пакеты с ним не поставляются уже несколько лет.
     
  • 1.15, mos87 (ok), 12:42, 14/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    в бубунте нужно пол кедов поставить для этой "утилиты".
     
  • 1.16, Аноним (16), 12:44, 14/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > Например, при помощи опций "filemode=04777,uid=0" всем файлам в примонтированном
    > разделе будет выставлен флаг suid root.

    Ммм.... прикольно! Я конечно знал что виндовые шары дыра на дыре, но вот это - просто новое слово в технике щелкания клювом, автоголов и тому подобных достижений :)

     
     
  • 2.24, Да ну нахер (?), 16:17, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    >Я конечно знал что виндовые шары дыра на дыре

    Microsoft имеет какое-то отношение к тому что утилиты в твоей эрзац-ОС написаны форменными птушниками?

     
     
  • 3.25, Аноним (-), 16:33, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Microsoft имеет какое-то отношение к тому что утилиты в твоей эрзац-ОС написаны
    > форменными птушниками?

    Они заложили славную традицию делать их дырявыми что капец :). Я сбился со счета сколько вулнов было в винде по поводу шар. Кто сказал что индусы нанятые по объявлению чем-то лучше птушников, собссно? :)

     
     
  • 4.29, iPony128052 (?), 18:30, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А в чём ещё должны быть уязвимости?
    В калькуляторе?

    Посмотри количество уязаимостей в NFS

     
  • 4.32, aname (ok), 19:55, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Тысячи глаз по какой причине не сделали лучше?
     
  • 2.34, Аноним (33), 20:18, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    а ничего, тот факт, что монтировать имеет право только root, и uid=0 это буквално by дизайн.

     

  • 1.19, Аноним (17), 13:16, 14/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Первым делом после установки линукса всегда выносил всю самбу во всех проявлениях.
     
     
  • 2.38, Аноним (38), 20:39, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    На домашнем компьютере само собой. Но в учреждении samba - основа всего.
     

  • 1.21, Аноним (38), 14:35, 14/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Проблема надуманная. До монтирования раздела сервер запросит авторизацию и не позволит примонтировать ресурсы, которые данному пользователю не положены.
     
     
  • 2.23, Аноним (23), 16:07, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Пользователь введёт пароль, потому что ему понадобилось примонтировать папку. Не вижу никакой надуманности. Не zero-click, но хакнуть типичного "поставить линукс из коробки чтобы всё работало" можно.
     
     
  • 3.26, Аноним (38), 16:39, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Пользователь сможет примонтировать только ресурс, который ему разрешено примонтировать. Что не так?
     
     
  • 4.35, Аноним (33), 20:19, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    создать вм, и там себе сделать любую шару, не отходя от кассы
     
  • 2.27, Аноним (27), 17:42, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    В том то и дело, что монтирование и размонтирование в smb4k разрешены без пароля:
    https://invent.kde.org/network/smb4k/-/blob/master/helpers/smb4kmounthelper.ac
    Policy=yes
    Для запроса пароля должно быть Policy=auth_admin
     
     
  • 3.28, Аноним (38), 18:26, 14/12/2025 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Предполагается, что на сервере сделаны верные настройки.
     

  • 1.30, Аноним (30), 18:55, 14/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > добиться вывода содержимого любого файла, например, /etc/shadow

    И что потом с ним делать? Перебирать пароли пока вселенная не погаснет? Понятно, что вывод любого файла серьёзная проблема, учитывая что в юниксе всё файл, но зачем такие убогие примеры приводить? Можно было бы что-то покреативнее придумать. Например, украсть куки у браузера или /home/vasya/passwords.txt.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру