Potenzielle Samba-Schwachstelle erlaubt Dateizugriff

Angreifer erhalten über symbolische Links Zugriff auf Wurzelverzeichnis

Über eine Schwachstelle im Samba-Dateiserver können Angreifer Zugriff auf das Rootverzeichnis des Systems erlangen. Der Angriff über das sogenannte Directory Traversing erfolgt über speziell präparierte Symlinks.

Anzeige

Da Samba mit Root-Rechten läuft, kann ein Angreifer über speziell präparierte Verknüpfungen unter Umständen auf das gesamte System samt Rootverzeichnis zugreifen. Bislang wird ein speziell angepasster SMB-Client benötigt, um die entsprechende Verknüpfung anzulegen und dadurch die Schwachstelle zu aktivieren. Zudem benötigt der Angreifer ein gültiges Konto auf dem Server und eine Freigabe mit Schreibrechten. Sind auf dem Server die Schreibrechte für Gäste aktiviert, ist nicht einmal ein gültiges Konto nötig.

Ein angepasster SMB-Client ist bereits für das Exploit-Framework Metasploit verfügbar, nachdem der Entdecker der Schwachstelle Nikolaos Rangos einen entsprechenden Patch veröffentlicht hatte. Samba erlaubt das Anlegen von symbolischen Verknüpfungen im Rahmen der sogenannten Unix-Extensions für Windows-Rechner.

Für den Fehler gibt es gegenwärtig noch keinen Patch. Die Samba-Entwickler raten deshalb, im Abschnitt "Global" die Option "wide links=" auf "no" zu setzen. Gegenwärtig gilt für die Option standardmäßig der Wert "yes". In künftigen Samba-Versionen wollen die Entwickler den Default-Wert ändern.

Kommentarübersicht
Re: Das ist ein Feature
Feature Abc 09. Feb 2010

Für chroot-User gilt dann, "du komscht hier nicht rein". Die haben in /tmp auch nix zu...

Re: ich hörte auf zu lesen bei...
blub 08. Feb 2010

wo ist siga eigentlich? ich hab in den letzten wochen nur posts von seinen...

Re: im Abschnitt "Global"
WhoDat 08. Feb 2010

Wenn du das fragen mußt, bist du für Online-Journalismus wie gemacht!

Re: Super-Gau für Mac OSX
asdfg 08. Feb 2010

Die WindowsNETZanbindung läuft MITTELS Samba.

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. IT-System Engineer (m/w) – Microsoft Backoffice Technologie
    InfraServ GmbH & Co. Gendorf KG, Burgkirchen
  2. Fachinformatiker / Programmierer (m/w) Anwendungsentwicklung C#, VB, VBA
    KRAUSE-Werk GmbH & Co. KG, Alsfeld
  3. Projektmanager Websites (m/w)
    GRUNWALD Kommunikation und Marketingdienstleistungen GmbH & Co. KG, Unterföhring
  4. Java Software Entwickler (m/w)
    Information Factory Deutschland GmbH, Nürnberg

 

Detailsuche

Folgen Sie uns
       
Videos
Sniper Ghost Warrior 2 mit Cryengine 3 - Trailer Sniper Ghost Warrior 2 mit Cryengine 3 - Trailer
Meistgelesen
  1. Bernd Schlömer

    Piratenchef darf im Dienst weder mailen noch twittern
  2. Anstößige Animationen

    Cinemagram-App wieder in Apples App Store
  3. Kim Dotcom

    "Gebt mir meine Rechner zurück!"
  4. Bang! Lamp

    Eine Designlampe zum Abknallen
  5. USB-Sticks und Speicherkarten

    Hersteller wehren sich gegen neue "Mondtarife"
Meistkommentiert
  1. IMHO: Warum ich nicht Diablo 3 spiele

    Kommentare: 384 | letzter Beitrag 15:32 Uhr

  2. USB-Sticks und Speicherkarten: Pauschalabgaben sollen von 10 Cent auf knapp 2 Euro steigen

    Kommentare: 219 | letzter Beitrag 16:26 Uhr

  3. Bundesregierung: Deutsche Geheimdienste können PGP entschlüsseln

    Kommentare: 215 | letzter Beitrag 11:40 Uhr

  4. F2, F8, F12: Windows 8 startet zu schnell

    Kommentare: 181 | letzter Beitrag 16:58 Uhr

  5. Via APC: Android-PC zum Selbstbauen für 49 US-Dollar

    Kommentare: 125 | letzter Beitrag 24.05. 18:01

Mehr

Ticker
  1. Gewerkschaft

    Entlassungen werden bei HP-Deutschland voll durchschlagen

  2. Tex Murphy

    Privatermittler sucht Privatinvestoren

  3. Studie

    Fast jeder zweite Nutzer hört legal Musik im Netz

  4. Funcom

    The Secret World mit neuen Plänen bis zum Start

  5. Play Store

    Google startet Bezahlabos in Android-Anwendungen

  6. Fußball

    Telekom stellt angeblich Liga Total ein

  7. SpaceX

    Dragon dockt an die ISS an

  8. IMHO

    Gema und Youtube - der Kampf ums Urheberrecht

  9. USB-Sticks und Speicherkarten

    Hersteller wehren sich gegen neue "Mondtarife"

  10. Test HTC One XL

    Smartphone-Leichtgewicht mit LTE

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Facebook
Soziale Pornos: Facebook verliert Klage gegen Faceporn
Soziale Pornos
Facebook verliert Klage gegen Faceporn

Ein soziales Netzwerk für Pornografie muss seine Marke nicht an Facebook übergeben. Faceporn, ein norwegisches Unternehmen, freut sich über den Sieg vor einem kalifornischen Gericht.

  1. iOS Facebook bringt eigene Kamera-App auf den Markt
  2. Redesign Facebook bastelt an einer veränderten Chronik
  3. Umsatzwarnung Facebook offenbar selbst an schwachem Börsenstart schuld
Android
Toshiba AT300: 10-Zoll-Tablet mit Quad-Core-Prozessor und Android 4
Toshiba AT300
10-Zoll-Tablet mit Quad-Core-Prozessor und Android 4

Toshiba hat das Excite 10 unter der Bezeichnung AT300 für Europa angekündigt. Das Tablet hat einen 10-Zoll-Touchscreen, den Quad-Core-Prozessor Tegra 3 von Nvidia und wird mit Android 4 alias Ice Cream Sandwich ausgeliefert.

  1. Smartphones und Tablets Fünf Nexus-Geräte zum fünften Geburtstag von Android?
  2. Iconia Tab A510/A511 Lieferprobleme bei Acers Android-Tablets
  3. Acer Iconia Tab A700 Android-4-Tablet mit 10-Zoll-Full-HD-Display kommt im Juni
Google
Urheberrechtsverletzungen: Google löscht monatlich über 1 Million URLs aus dem Index
Urheberrechtsverletzungen
Google löscht monatlich über 1 Million URLs aus dem Index

Google erweitert seinen Transparenzbericht und zeigt ab sofort auch, wer wie viele Löschanträge wegen Urheberrechtsverletzungen bei Google stellt. Ganz oben auf der Liste steht Microsoft.

  1. Suchmaschine Google Search 2.0 für das iPhone mit neuer Oberfläche
  2. Einlenken oder zahlen EU-Kommission gibt Google letzte Chance
  3. China sagt Ja Google darf Motorola kaufen
Forumsbeiträge »
  1. USB-Sticks und Speicherkarten Hersteller wehren sich gegen neue "Mondtarife"

    Re: GEMA-frei aus Luxemburg

    x2k | 17:14

  2. Gewerkschaft Entlassungen werden bei HP-Deutschland voll durchschlagen

    Altes Thema: für Fachkräfte nix zahlen wollen und...

    LX | 17:13

  3. USB-Sticks und Speicherkarten Hersteller wehren sich gegen neue "Mondtarife"

    GEMA nach Hause!

    n0meX | 17:12

  4. Acer Iconia Tab A700 Android-4-Tablet mit 10-Zoll-Full-HD-Display kommt im Juni

    Re: Falsche

    neocron | 17:12

  5. Studie Fast jeder zweite Nutzer hört legal Musik im Netz

    Re: Interpretationsfähig...

    7hyrael | 17:10

Ticker »
  1. Gewerkschaft Entlassungen werden bei HP-Deutschland voll durchschlagen

    16:57

  2. Tex Murphy Privatermittler sucht Privatinvestoren

    15:46

  3. Studie Fast jeder zweite Nutzer hört legal Musik im Netz

    14:39

  4. Funcom The Secret World mit neuen Plänen bis zum Start

    14:28

  5. Play Store Google startet Bezahlabos in Android-Anwendungen

    14:22

  6. Fußball Telekom stellt angeblich Liga Total ein

    14:14

  7. SpaceX Dragon dockt an die ISS an

    14:08

  8. IMHO Gema und Youtube - der Kampf ums Urheberrecht

    13:57

Zum Artikel