SMB V1 und CVE-2017-7494

  • Liebe Leute


    Da die Forensuche nicht so recht fruchtete, habe ich folgende Fragen:
    1. Ist der Samba-Fehler CVE-2017-7494 in der aktuellen QNAP-Version (4.2.6 Build 2017/07/29) gefixt? (Meine Samba-Version lautet mit /mnt/ext/opt/samba/sbin/smbd -V: 4.0.25 bezogen auf QNAP-Version 4.2.6 Build 2017/07/29) ?


    2. In den Windows 10 Pro Einstellungen: Programme->Windows Features aktivieren habe ich das Feature "Unterstützung für die SMB 1.0/CIFS Datei-Freigabe" deinstalliert, da Microsoft angeblich ab Herbst dieses Jahres diese Version wg Fehlerhaftigkeit löschen soll. Nun war überhaupt kein Netzwerkzugriff auf das NAS mehr möglich. Ist diese SMB-Version nicht jetzt schon fehlerhaft und welche Alternative haben wir beim zukünftigen Wechsel, wenn vom Windows 10 bzw. innerhalb einer VMWare virtuellen Maschine von Windows 8.1 auf das QNAP-NAS innerhalb eines LAN zugegriffen werden soll?



    Für eine Klarstellung wäre ich Euch dankbar.


    Grüße Hans

    Einmal editiert, zuletzt von iv077 ()

  • Schau mal hier im Forum (smb status), bei den alten Systemen musste man SMB 2.0(1?) via SSH aktivieren. Welcher der kritischen SMB 1 Lücken in welche Version gefixt wurden habe ich irgendwann nicht mehr verfolgt! :D

  • Wo und wie welche SMB-Version einzustellen ist kannst Du hier nachlesen:
    [entry]228[/entry]


    Ob dieser spezielle Fehler in Deiner Firmware-Version schon entfernt wurde kann ich Dir auch nicht sagen. Aber was in welcher Firmware gefixt wurde kannst Du hier aus dem Changelog der jeweiligen Version entnehmen.

  • Ok, vielen Dank für die Antworten. In den Changelogs werden kaum CVE-Nummern genannt, außer CVE-2017-11103 in der Version 4.2.6 build 20170729, die ich installiert habe.


    Und betrifft mich der fehlerhafte SMB-Zugriff überhaupt, wenn dies doch nur bei mir im LAN geschieht? Von außen geht das ja nur per ftp und https?


    Zur Not kann ich ja auch bei QNAP selbst nachfragen. Was aber wird sein, wenn Microsoft in näherer Zukunft SMB in der Version 1 und 2 abschalten wird? Ich habe das Gefühl, dass ich das nicht ganz verstehe. Bitte deshalb nochmals um Klarstellung.



    Vielen Dank
    Hans

  • Du schreibst, dass bei Deinem Gerät Samba 4.0.25 installiert ist. Ansonsten per Putty/Konsole mit dem Befehl smb2status überprüfen. Samba 4.0.25 beherrscht SMB Version 3. In Deinem Fall, sollte MS SMB Version 1 + 2 deaktivieren, musst Du Deine QNAP nur auf SMB3 umschalten. Windows 8 und 10 beherrscht schon jetzt SMB3. Am besten jetzt schon umschalten und prüfen, dann gibt es keine bösen Überraschungen. Für Windows 8 / 10 ist ohnehin die Version 3 empfohlen.

  • Hallo Mavalok2


    Vielen Dank für Deine Antwort.


    Also ich habe gerade den Befehl "smb2status" abgesetzt und bekam folgendes Ergebnis:
    smbd (samba daemon) Version 4.0.25
    smbd (samba daemon) is running.
    max protocol SMB 2.1 enabled.
    Was muss ich nun tun, um "keine böse Überraschung" beim Zugriff von Windows 8/10 auf das NAS zu bekommen? Denn mit einer simplen Deinstallation der "Unterstützung für die SMB 1.0/CIFS Datei-Freigabe" in Programme und Features auf Windows 8/10 wird es ja nicht getan sein, da dann überhaupt keine Netzwerk-Ressource mehr auf Windows 8/10 zu sehen ist.


    Grüße
    Hans

  • Also eine Möglichkeit zum Entfernen der Versionen 1 + 2 auf der QNAP ist mir nicht bekannt - was nicht heißen will, dass es nicht möglich ist. Aber zum Umstellen der QNAP auf Version 3 ist der Befehl smb3enable im Putty/Konsole notwendig. Danach müsste ein smb2status folgendes anzeigen:


    Code
    smbd (samba daemon) Version 4.0.25
    smbd (samba daemon) is running.
    max protocol SMB 3.0 enabled.

    Danach müsste Windows über SMB3 mit der QNAP arbeiten. Wie sich das Ganze verhält, wenn Du unter Windows


    Deinstallation der "Unterstützung für die SMB 1.0/CIFS Datei-Freigabe" in Programme und Features

    durchführst kann ich nicht sagen, habe ich nie getestet.

  • Hallo Mavalok2


    Also nun habe ich mit smb3enalbe umgestellt:

    Leider ist immer noch nicht die Version 3 eingeschaltet. Liegt das wohl an den o.g. Kopier-Fehlern?
    Aber immerhin kann nun Windows 8.1 ohne SMB1-Unterstützung bereits per SMB auf das NAS zugreifen. Aber wie bekomme ich es jetzt hin, SMB auf die Protokoll-Version 3.0 anzuheben?


    Grüße
    Hans

  • ja, habe ich. Und nochmals geprüft. Ob ich wohl das an QNAP senden sollte?

  • Hmm, eigenartig.
    Mal anders gefragt: Kannst Du bei Deiner QNAP die SMB-Version nicht auch per WebGUI umschalten? Anleitung siehe hier:
    [entry]228[/entry]


    Ansonsten würde ich mal Versuchen:
    - auf Version 1 zurückstellen
    - QNAP neustarten
    - auf Version 3 stellen
    - Neustarten

  • Die Einstellungen in der Web-GUI erscheinen nicht, wie sie sein sollten laut Deiner Hilfe-Seite. Deshalb die Kommandozeile.
    Was ist denn der praktische Unterschied und seine Auswirkungen von SMB V 2.1 <-> V 3.0, denn die Unterstützung von SMB 1 habe ich auf Windows 8.1 abgeschaltet und kam trotzdem auf das NAS zugreifen? Und das zurückstellen auf V 1 mit reboot und nochmals auf V 3 umstellen wird nichts bringen,


    Grüße Hans

  • Was ist denn der praktische Unterschied und seine Auswirkungen von SMB V 2.1 <-> V 3.0

    Das kann ich Dir im Detail auch nicht sagen. Da ich noch mit Windows 7 arbeite (was noch kein SMB3 unterstützt), sind alle meine QNAPs auf Version 2.1 eingerichtet. Aber Du wolltest SMB Version 1 und 2 nicht verwenden. Ansonsten würde ich sagen auf SMB2.1 lassen. Ob es einen spürbaren Performanceunterschied wie zwischen V1 und V2 gibt kann ich aus besagten Gründen nicht sagen.


    Wenn Du mehr dazu wissen willst mal hier nachlesen oder im Internet nach "Server Message Block" googlen. Das SMB-Protokoll stammt von Microsoft.


    denn die Unterstützung von SMB 1 habe ich auf Windows 8.1 abgeschaltet und kam trotzdem auf das NAS zugreifen?

    Die Verbindung nimmt die höchst mögliche Version. Windows 8.1 unterstützt SMB3, Deine QNAP im Moment SMB2.1, also wird SMB2.1 verwendet. Hättest Du Deine QNAP auf max. SMB1.0 eingestellt und unter Win8.1 SMB1 deaktiviert kommt keine Verbindung zustande, da keine gemeinsame Version unterstützt wird. Deaktivierst Du unter Win8.1 auch SMB2.0/2.1 kommt solange keine Verbindung zur QNAP zustande, bis es Dir gelingt die QNAP auf max SMB3 umzustellen.

  • Also wie man auf Windows10/8.1 die SMB-Version 2.0/2.1 deaktiviert weiß ich garnicht. Ich würde nur gerne auf dem NAS die SMB-Version 3.0 haben, wenn der Dämon ja jetzt bereits > 4.0 ist. Die Unterstützung der fehlerhaften SMB Version 1.0 ist aber bereits deinstalliert.


    Zur Lösung der fehlenden SMB-Version 3.0-Unterstützung auf dem NAS habe ich nun bei QNAP ein Ticket eröffnet.


    Vielen Dank für Deine Hilfe (wir könnten den Fall nun als gelöst schließen)


    Grüße
    Hans