Potenzielle Samba-Schwachstelle erlaubt Dateizugriff

Angreifer erhalten über symbolische Links Zugriff auf Wurzelverzeichnis

Über eine Schwachstelle im Samba-Dateiserver können Angreifer Zugriff auf das Rootverzeichnis des Systems erlangen. Der Angriff über das sogenannte Directory Traversing erfolgt über speziell präparierte Symlinks.

Anzeige

Da Samba mit Root-Rechten läuft, kann ein Angreifer über speziell präparierte Verknüpfungen unter Umständen auf das gesamte System samt Rootverzeichnis zugreifen. Bislang wird ein speziell angepasster SMB-Client benötigt, um die entsprechende Verknüpfung anzulegen und dadurch die Schwachstelle zu aktivieren. Zudem benötigt der Angreifer ein gültiges Konto auf dem Server und eine Freigabe mit Schreibrechten. Sind auf dem Server die Schreibrechte für Gäste aktiviert, ist nicht einmal ein gültiges Konto nötig.

Ein angepasster SMB-Client ist bereits für das Exploit-Framework Metasploit verfügbar, nachdem der Entdecker der Schwachstelle Nikolaos Rangos einen entsprechenden Patch veröffentlicht hatte. Samba erlaubt das Anlegen von symbolischen Verknüpfungen im Rahmen der sogenannten Unix-Extensions für Windows-Rechner.

Für den Fehler gibt es gegenwärtig noch keinen Patch. Die Samba-Entwickler raten deshalb, im Abschnitt "Global" die Option "wide links=" auf "no" zu setzen. Gegenwärtig gilt für die Option standardmäßig der Wert "yes". In künftigen Samba-Versionen wollen die Entwickler den Default-Wert ändern.

Kommentarübersicht
Re: Das ist ein Feature
Feature Abc 09. Feb 2010

Für chroot-User gilt dann, "du komscht hier nicht rein". Die haben in /tmp auch nix zu...

Re: ich hörte auf zu lesen bei...
blub 08. Feb 2010

wo ist siga eigentlich? ich hab in den letzten wochen nur posts von seinen...

Re: im Abschnitt "Global"
WhoDat 08. Feb 2010

Wenn du das fragen mußt, bist du für Online-Journalismus wie gemacht!

Re: Super-Gau für Mac OSX
asdfg 08. Feb 2010

Die WindowsNETZanbindung läuft MITTELS Samba.

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Entwicklungsingenieur (m/w) Elektronik
    J. Schmalz GmbH, Glatten bei Freudenstadt
  2. Projektmanager (m/w)
    Fresenius Netcare GmbH, Bad Homburg
  3. IT-Projektleiter (m/w) - Komplexe IT-Prozesse
    deron consulting GmbH, Stuttgart und Home-Office (Reisebereitschaft)
  4. Applikationsadministrator/-in
    Universitätsklinikum Leipzig, Leipzig

 

Detailsuche

Folgen Sie uns
       
Videos
Philips Hue mit neuer iOS-App Philips Hue mit neuer iOS-App
Ticker
  1. Antifeatures

    Freie Software gegen Bevormundung

  2. Video

    Yahoo gibt Angebot für Hulu ab

  3. Google X

    Google baut mobiles Internet in Afrika und Südostasien

  4. Xbox One

    Handel muss Gebrauchtspiele de-registrieren

  5. Lenovo

    "Wir können uns jede Übernahme leisten"

  6. Bundesdatenschützer

    Jobcenter sollen nicht bei Facebook recherchieren

  7. Navigation

    Google Maps erhält Routenplanung per Fahrrad

  8. Test Call of Juarez Gunslinger

    Hör-Spiel im Wilden Westen

  9. Fonic All-Net Flat

    Telefon-, SMS- und Datenflatrate für 25 Euro

  10. Drosselung

    Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Games
Dying Light: Einsamer Kampf in großer Stadt
Dying Light
Einsamer Kampf in großer Stadt

Tagsüber sammelt der Spieler Vorräte und Waffen, nachts kämpft er gegen Zombies: Das ist das Grundkonzept von Dying Light, das Techland unter anderem für Playstation 4 und Xbox One produziert.

  1. Flying Wild Hog Der Shadow Warrior kämpft wieder
  2. Homosexualität in Spielen Bug oder Feature?
  3. Strategiespiel HTML5-Version von Freeciv veröffentlicht
DSL
Telekom: Bundestagspetition gegen Drosselung erreicht 50.000
Telekom
Bundestagspetition gegen Drosselung erreicht 50.000

In nur vier Tagen hat eine Petition für Netzneutralität und gegen DSL-Drosselung die nötige Zahl der Mitzeichner gefunden. Jetzt will der Petent 100.000 erreichen.

  1. Telekom Bundestagspetition gegen Drosselung gestartet
  2. Drosselung Piratenchef fordert Verstaatlichung der Netze der Telekom
  3. Vectoring der Telekom Bundesnetzagentur genehmigt VDSL mit 100 MBit/s
Open Source
Offene Formate in Deutschland: "Passiert ist nix!"
Offene Formate in Deutschland
"Passiert ist nix!"

Linuxtag 2013 Im Vergleich zu anderen europäischen Ländern tun sich die deutschen Behörden in Deutschland mit Open-Source-Software noch schwer. Eine Podiumsdiskussion auf dem Open-IT Summit 2013 offenbart das Problem: geschlossene Dokumentenstandards.

  1. Clark Asay Defensive Patente mit freier Software nicht vereinbar?
  2. Adobes CFF Engine Bessere Schriftdarstellung für Android, iOS und Linux
  3. Entwicklerplatinen Spark Core mit WLAN und Cortex-M3-Prozessor
Forumsbeiträge »
  1. Google X Google baut mobiles Internet in Afrika und Südostasien

    Re: Good guy Google

    cry88 | 19:24

  2. Lenovo "Wir können uns jede Übernahme leisten"

    Re: wie wäre etwas Gleichwertiges zum Macbook Air?

    zettifour | 19:23

  3. Google X Google baut mobiles Internet in Afrika und Südostasien

    Re: Wahnsinn

    cry88 | 19:22

  4. Drosselung Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

    Die Drosselung ist nicht das K.O Kriterium

    SirebRaM | 19:12

  5. Antifeatures Freie Software gegen Bevormundung

    Re: Die Unterschiede bei Windows haben Gründe.

    DragonHunter | 19:07

Ticker »
  1. Antifeatures Freie Software gegen Bevormundung

    17:14

  2. Video Yahoo gibt Angebot für Hulu ab

    13:18

  3. Google X Google baut mobiles Internet in Afrika und Südostasien

    11:44

  4. Xbox One Handel muss Gebrauchtspiele de-registrieren

    17:34

  5. Lenovo "Wir können uns jede Übernahme leisten"

    16:22

  6. Bundesdatenschützer Jobcenter sollen nicht bei Facebook recherchieren

    14:55

  7. Navigation Google Maps erhält Routenplanung per Fahrrad

    14:37

  8. Test Call of Juarez Gunslinger Hör-Spiel im Wilden Westen

    14:00

Zum Artikel