Schwere Sicherheitslücken in Samba

Zugriff auf das gesamte Dateisystem und Passwörter im Klartext

Mit drei Patches beheben Samba-Entwickler Fehler in ihrem Linux-File-Server für Windows-Freigaben. Die Patches schließen Lücken, die unter Umständen einen Zugriff auf das gesamte Dateisystem zulassen, DOS-Attacken ermöglichen oder Passwörter im Klartext anzeigen.

Anzeige

Der schwerwiegendste Fehler in Samba betrifft Benutzereinträge ohne Home-Verzeichnis, die in der Passwortverwaltung /etc/passwd vorhanden sind. Sofern unter Samba automatische Home-Freigaben aktiviert sind oder eine Freigabe für den Benutzer ohne Home-Verzeichnis eingerichtet ist, erhalten alle an dieser Freigabe angemeldeten Clients Zugriff auf das gesamte Dateisystem. Die Zugriffsrechte beschränken sich allerdings auf die des angemeldeten Benutzers.

Auch die zweite Lücke im Programm mount.cifs des Samba-Pakets betrifft alle Versionen. Ist mount.cifs mit dem Zusatz setuid gestartet, kann sich ein Benutzer normalerweise per Authentifizierungs- oder Passwortdatei anmelden. Ohne Patch fragt mount-cifs nicht ab, ob ein Benutzer Root-Rechte benötigt, um die Passwortdatei zu übergeben. Außerdem kann mit dem Parameter "--verbose", die erste Zeile des Inhalts einer Passwortdatei bei der Übergabe an den Kernel abgefragt werden.

Die dritte, eher selten auftauchende Lücke, die alle Versionen ab Samba 3.0.11 betrifft, ermöglicht eine DoS-Attacke auf den Samba-Dienst smbd, wenn dieser von einem Client eine unerwartete Antwort auf eine "oplock break"-Mitteilung erhält. Der Samba-Daemon belastet daraufhin die CPU auf bis zu 100 Prozent und friert damit den Server ein.

Samba-Entwickler raten dringend zu einem Update, die mit Patches versehenen Dateien liegen für sämtliche relevanten Versionen unter samba.org zum Download bereit. [von Jörg Thoma]

Kommentarübersicht
Re: Und für mein NAS wird es keinen Patch geben.
rap123 06. Okt 2009

Warum kaufst du dir dann ein Maxtor Gerät, wenn du weißt, dass es kein Firmwareupgrade...

Re: Ade Fritz BOX
rap123 06. Okt 2009

Wenn es für deine tolle Friz-Box kein Firmwareupgrade geben sollte, dann ist ja wohl der...

Re: Wo sind die Schreihälse...
rap123 06. Okt 2009

Natürlich ist Samba Open Source

Re: Bin ich froh
Tingelchen 05. Okt 2009

Hmm... warum? ^^

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Betriebswirt / Wirtschaftsinformatiker (m/w)
    Schleupen AG, Ettlingen
  2. IT Software Engineer (m/w)
    Wacker Chemie AG, München
  3. Software-Entwickler/in
    LVR-InfoKom, Köln
  4. Bereichsleiter (m/w) Beratung
    F+L SYSTEM AG, Altstätten (Schweiz)

 

Detailsuche

Folgen Sie uns
       
Videos
Eisflächen und Klimaforschnug - Nasa Eisflächen und Klimaforschnug - Nasa
Meistgelesen
  1. Premiumnutzer

    Nutzern von Kino.to drohen Strafverfahren
  2. Acta-Demos

    Zehntausende gegen "bekACTA Scheiß" in München und Berlin
  3. Gerüchte

    Apple will alle Notebooks dünner machen
  4. Lumia-Smartphones

    Nokias Offensive auch in Deutschland gescheitert
  5. Klage gegen Samsung

    Apple will Verkauf des Galaxy Nexus verhindern
Meistkommentiert
  1. IMHO: Windows 8 - Microsofts Befreiungsschlag

    Kommentare: 217 | letzter Beitrag 10:54 Uhr

  2. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 180 | letzter Beitrag 10:52 Uhr

  3. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 109 | letzter Beitrag 10:06 Uhr

  4. Acta: Deutschland setzt Unterzeichnung von Acta aus

    Kommentare: 100 | letzter Beitrag 12.02. 10:35

  5. Epic Games: Unreal Engine 4 soll in diesem Jahr "die Leute schockieren"

    Kommentare: 89 | letzter Beitrag 07:25 Uhr

Mehr

Ticker
  1. Spielebranche

    Gaming-Standort Bayern sucht den Reset-Knopf

  2. Google@home

    Google baut Hardwaretestcenter für Unterhaltungselektronik

  3. Objektive

    So geht es weiter mit Sonys NEX-System

  4. Gerüchte

    Apple will alle Notebooks dünner machen

  5. Tilt-Shift-Effekt

    Generator für Spielzeuglandschaften

  6. Premiumnutzer

    Nutzern von Kino.to drohen Strafverfahren

  7. Evilshadow

    Microsoft Store in Indien gehackt

  8. Browser

    Firefox 10.0.1 bringt Fehlerkorrekturen

  9. Lumia-Smartphones

    Nokias Offensive auch in Deutschland gescheitert

  10. Klage gegen Samsung

    Apple will Verkauf des Galaxy Nexus verhindern

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Sound-Hardware
Onkyo: Aktive Lautsprecher mit WLAN und DLNA
Onkyo
Aktive Lautsprecher mit WLAN und DLNA

Onkyo hat mit dem GX-W100HV ein Stereolautsprecherpaar vorgestellt, das mit einem WLAN-Modul und DLNA-Unterstützung ausgerüstet ist und sich so für die Funkübertragung von Musik aus Tablets, PCs und Smartphones eignet.

  1. Soundblaster Recon3D Creatives neue PCIe-Soundkarten werden ausgeliefert
Mobilfunk
EU-Datenroaming: Nur noch maximal 50 Cent/MByte ab Juli angestrebt
EU-Datenroaming
Nur noch maximal 50 Cent/MByte ab Juli angestrebt

Das Europäische Parlament will den Maximalpreis für den mobilen Internetzugriff im EU-Ausland ab Juli 2012 auf 50 Cent pro MByte verringern. Bis Mitte 2014 ist eine Absenkung auf 20 Cent pro MByte vorgesehen. Auch der SMS-Versand und Handygespräche sollen billiger werden.

  1. Überwachung Funkzellenabfrage wird zum Instrument für alle Fälle
  2. Rich Communication Suite-enhanced Netzbetreiber starten neuen Handydienst
  3. Berliner Auto-Brandstiftungen Polizei richtet Funkzellenauswertung gegen Hunderttausende
Acta
Acta im EU-Parlament: Druck aus dem Netz und aus Berlin
Acta im EU-Parlament
Druck aus dem Netz und aus Berlin

Im Netz gibt es immer mehr Protest gegen das internationale Urheberrechtsabkommen Acta. Der Adressat: das EU-Parlament. Die EU-Abgeordneten stimmen voraussichtlich erst Mitte Juni 2012 über Acta ab.

Forumsbeiträge »
  1. Premiumnutzer Nutzern von Kino.to drohen Strafverfahren

    Re: RAM

    Tantalus | 10:55

  2. IMHO Windows 8 - Microsofts Befreiungsschlag

    "Das ist ein mutiger Schritt" ???

    KC85 | 10:54

  3. Gerüchte Apple will alle Notebooks dünner machen

    Re: Will. möchte, Gerüchte, Analysten, Experten...

    gollumm | 10:53

  4. Spielebranche Gaming-Standort Bayern sucht den Reset-Knopf

    Hallo Vernunft.

    CaptainDread | 10:53

  5. Spielebranche Gaming-Standort Bayern sucht den Reset-Knopf

    Hallo Vernunft.

    CaptainDread | 10:53

Ticker »
  1. Spielebranche Gaming-Standort Bayern sucht den Reset-Knopf

    10:28

  2. Google@home Google baut Hardwaretestcenter für Unterhaltungselektronik

    10:10

  3. Objektive So geht es weiter mit Sonys NEX-System

    09:13

  4. Gerüchte Apple will alle Notebooks dünner machen

    09:08

  5. Tilt-Shift-Effekt Generator für Spielzeuglandschaften

    09:03

  6. Premiumnutzer Nutzern von Kino.to drohen Strafverfahren

    08:55

  7. Evilshadow Microsoft Store in Indien gehackt

    08:13

  8. Browser Firefox 10.0.1 bringt Fehlerkorrekturen

    14:09

Zum Artikel