Abo
  • Services:
Anzeige

Schwere Sicherheitslücken in Samba

Zugriff auf das gesamte Dateisystem und Passwörter im Klartext

Mit drei Patches beheben Samba-Entwickler Fehler in ihrem Linux-File-Server für Windows-Freigaben. Die Patches schließen Lücken, die unter Umständen einen Zugriff auf das gesamte Dateisystem zulassen, DOS-Attacken ermöglichen oder Passwörter im Klartext anzeigen.

Der schwerwiegendste Fehler in Samba betrifft Benutzereinträge ohne Home-Verzeichnis, die in der Passwortverwaltung /etc/passwd vorhanden sind. Sofern unter Samba automatische Home-Freigaben aktiviert sind oder eine Freigabe für den Benutzer ohne Home-Verzeichnis eingerichtet ist, erhalten alle an dieser Freigabe angemeldeten Clients Zugriff auf das gesamte Dateisystem. Die Zugriffsrechte beschränken sich allerdings auf die des angemeldeten Benutzers.

Anzeige

Auch die zweite Lücke im Programm mount.cifs des Samba-Pakets betrifft alle Versionen. Ist mount.cifs mit dem Zusatz setuid gestartet, kann sich ein Benutzer normalerweise per Authentifizierungs- oder Passwortdatei anmelden. Ohne Patch fragt mount-cifs nicht ab, ob ein Benutzer Root-Rechte benötigt, um die Passwortdatei zu übergeben. Außerdem kann mit dem Parameter "--verbose", die erste Zeile des Inhalts einer Passwortdatei bei der Übergabe an den Kernel abgefragt werden.

Die dritte, eher selten auftauchende Lücke, die alle Versionen ab Samba 3.0.11 betrifft, ermöglicht eine DoS-Attacke auf den Samba-Dienst smbd, wenn dieser von einem Client eine unerwartete Antwort auf eine "oplock break"-Mitteilung erhält. Der Samba-Daemon belastet daraufhin die CPU auf bis zu 100 Prozent und friert damit den Server ein.

Samba-Entwickler raten dringend zu einem Update, die mit Patches versehenen Dateien liegen für sämtliche relevanten Versionen unter samba.org zum Download bereit. [von Jörg Thoma]


eye home zur Startseite
rap123 06. Okt 2009

Warum kaufst du dir dann ein Maxtor Gerät, wenn du weißt, dass es kein Firmwareupgrade...

rap123 06. Okt 2009

Wenn es für deine tolle Friz-Box kein Firmwareupgrade geben sollte, dann ist ja wohl der...

rap123 06. Okt 2009

Natürlich ist Samba Open Source

Tingelchen 05. Okt 2009

Hmm... warum? ^^



Anzeige

Stellenmarkt
  1. Bernecker + Rainer Industrie-­Elektronik Ges.m.b.H., Essen
  2. SIGNAL IDUNA Gruppe, Hamburg
  3. Allianz Deutschland AG, Unterföhring
  4. Robert Bosch Starter Motors Generators GmbH, Schwieberdingen


Anzeige
Top-Angebote
  1. (u. a. London Has Fallen, The Imitation Game, Lone Survivor, Olympus Has Fallen)
  2. (u. a. Der Hobbit 3, Der Polarexpress, Ice Age, Pan, Life of Pi)
  3. (u. a. 96 Hours Taken 3 6,97€, London Has Fallen 9,97€, Homefront 7,49€, Riddick 7,49€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Red Star OS

    Sicherheitslücke in Nordkoreas Staats-Linux

  2. Elektroauto

    Porsche will 20.000 Elektrosportwagen pro Jahr verkaufen

  3. TV-Kabelnetz

    Tele Columbus will Marken abschaffen

  4. Barrierefreiheit

    Microsofts KI hilft Blinden in Office

  5. AdvanceTV

    Tele Columbus führt neue Set-Top-Box für 4K vor

  6. Oculus Touch im Test

    Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung

  7. 3D Xpoint

    Intels Optane-SSDs erscheinen nicht mehr 2016

  8. Webprogrammierung

    PHP 7.1 erweitert Nullen und das Nichts

  9. VSS Unity

    Virgin Galactic testet neues Raketenflugzeug

  10. Google, Apple und Mailaccounts

    Zwei-Faktor-Authentifizierung richtig nutzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

Final Fantasy 15 im Test: Weltenrettung mit der Boyband des Wahnsinns
Final Fantasy 15 im Test
Weltenrettung mit der Boyband des Wahnsinns
  1. Square Enix Koop-Modus von Final Fantasy 15 folgt kostenpflichtig

Seoul-Incheon Ecobee ausprobiert: Eine sanfte Magnetbahnfahrt im Nirgendwo
Seoul-Incheon Ecobee ausprobiert
Eine sanfte Magnetbahnfahrt im Nirgendwo
  1. Transport Hyperloop One plant Trasse in Dubai

  1. Re: Moto Z Force in Deutschland verfügbar?

    ip (Golem.de) | 06:39

  2. Re: nutzt das wer?

    Poison Nuke | 06:36

  3. Re: Achtung: Google Authenticator und neue Handys

    Pjörn | 06:34

  4. Android Smartphones für 2nd Factor Auth

    Questor | 06:26

  5. Induktiv laden gehört verboten

    B.I.G | 05:26


  1. 17:25

  2. 17:06

  3. 16:53

  4. 16:15

  5. 16:02

  6. 16:00

  7. 15:00

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel