Original-URL des Artikels: http://www.golem.de/news/samba-swat-soll-entfernt-werden-1302-97740.html    Veröffentlicht: 21.02.2013 12:01

Samba

Swat soll entfernt werden

Die Samba-Entwickler diskutieren erneut, ob das Konfigurationswerkzeug Swat entfernt werden soll. Es gibt wieder Sicherheitsbedenken und keine geeigneten Entwickler, die sich darum kümmern.

Nach der jüngsten Meldung, dass die Passwortverwaltung im Konfigurationswerkzeug Swat für Samba (Samba Web Administration Tool) nicht mehr korrekt funktioniert, hat Entwickler Andrew Bartlett vorgeschlagen, Swat nicht mehr weiterzuentwickeln und aus dem Samba-Paket zu entfernen. Für das webbasierte Swat gebe es keinen geeigneten Entwickler im Team, der entsprechend sicheren Code schreiben kann.

Swat biete die bei weitem größte Angriffsfläche aller Samba-Werkzeuge, schreibt Bartlett. Kai Blin gebe sich zwar alle Mühe, zumindest die Richtlinien zur Vermeidung von XSS- und CSRF-Angriffen in Swat umzusetzen, aber weder er noch die anderen Mitglieder des Samba-Teams seien Webentwickler.

Swat nur als Dokumentation gut

Viel Widerstand gibt es bislang in dem Diskussionsthread nicht. Einige Anwender würden die in der HTML-Oberfläche integrierten Erklärungen zu den einzelnen Parametern vermissen. Inzwischen hat Entwickler Gregory Sloop eine HTML-Version der umfangreichen Samba-Dokumentation aus den Man-Pages zusammengestellt.

Ansonsten wird die bereits seit einigen Jahren geäußerte Kritik an Swat wiederholt: Das Konfigurationswerkzeug verhunze die Konfigurationsdatei smb.conf, mache sie unlesbar oder zerschieße sie sogar.

Webmin mit ähnlichen Problemen

Das ebenfalls webbasierte Werkzeug Webmin kämpft indes mit ähnlichen Problemen wie Swat. In der Mailingliste schlug Robert Schetterer vor, die Samba-Entwickler sollten mit dem Webmin-Team zusammenarbeiten, etwa indem die Dokumentation vom Samba-Projekt kommt und sich das Webmin-Projekt auf die Sicherheit konzentrieren könnte.

Anlass der erneuten Diskussion um Swat sind die inzwischen geschlossenen Sicherheitslücken CVE-2013-0213 und CVE-2013-0214.  (jt)


Verwandte Artikel:
Samba-4-Appliance: Kostenloses Samba-Active-Directory auf Debian-Basis   
(19.12.2012 09:27, http://www.golem.de/news/samba-4-appliance-kostenloses-samba-active-directory-auf-debian-basis-1212-96452.html)
Freier Windows-Server: Samba 4 als finale Version veröffentlicht   
(12.12.2012 10:20, http://www.golem.de/news/freier-windows-server-samba-4-als-finale-version-veroeffentlicht-1212-96295.html)
Univention: Corporate Server 3.1 enthält Samba 4   
(14.12.2012 17:16, http://www.golem.de/news/univention-corporate-server-3-1-enthaelt-samba-4-1212-96379.html)
Freier Dateiserver: Samba 4 als Release Candidate erschienen   
(14.09.2012 11:45, http://www.golem.de/news/freier-dateiserver-samba-4-als-release-candidate-erschienen-1209-94563.html)
Active Directory: Erste Beta von Samba 4 erschienen   
(05.06.2012 17:59, http://www.golem.de/news/active-directory-erste-beta-von-samba-4-erschienen-1206-92317.html)

© 2014 by Golem.de