SMB-Implementierung in Linux mit Sicherheitslücken

Stefan Esser findet sieben Fehler, die zumindest DoS-Angriffe erlauben. Der Sicherheitsexperte Stefan Esser weist auf insgesamt sieben Fehler in der Implementierung des SMB-Dateisystems in Linux hin. Diese erlauben es, Clients lahm zu legen, möglicherweise aber auch fremden Code auszuführen.

18. November 2004 um 12:28 Uhr / Jens Ihlenfeld

Kommentare News folgen (öffnet im neuen Fenster)

Bei einer Überprüfung der SMB-Implementierung im Linux-Kernel stieß Esser auf die Fehler(öffnet im neuen Fenster) , darunter Buffer-Overflows und Lesezugriffe außerhalb des zulässigen Bereichs. Um die entdeckten Fehler ausnutzen zu können, muss ein Angreifer aber Kontrolle über die Antworten eines mit dem SMB-Client verbundenen Servers erlangen. Dies ist zum einen über einen "Man in the Middle"-Angriff möglich oder die Übernahme eines Samba-Servers, beispielsweise mit den kürzlich bekannt gewordenen Lücken in Samba 3.x.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Revisor/-in / Prüfungsleitung Ausrichtung IT, Informationssicherheit und Projektmanagement (m/w/d) – ohne Reisetätigkeit – VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe (öffnet im neuen Fenster)

IT-Infrastrukturbetreuer (w/m/d) IT-Support - First & Second Level Sparkasse Hanau, Hanau (öffnet im neuen Fenster)

Mitarbeiter/-in Projektierung und Administration IT-Applikationen / Schwerpunkt DMS (m/w/d) Stadt Hildesheim, Hildesheim (öffnet im neuen Fenster)

IT-Systemadministrator (m/w/d) Reichenau-Gemüse eG, Reichenau (öffnet im neuen Fenster)

Werkstudent für Digitalisierungsprojekte in der Mobilität (m/w/d) EWR GmbH, Remscheid (öffnet im neuen Fenster)

SAP Consultant Groß- und Außenhandelssysteme Schwerpunkt Beschaffungsprozesse (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

System Administrator Hard- und Software (m/w/d) DEMMEL AG, Scheidegg (öffnet im neuen Fenster)

Die Ausnutzung der Sicherheitslücken für Denial-of-Service-Angriffe ist nach Ansicht von Esser recht einfach, ob sich über diese Sicherheitslücken aber auch fremder Code einschleusen und ausführen lässt, ist noch unklar.

Betroffen sind Linux 2.6.x bis 2.6.9 und 2.4.x bis einschließlich Linux 2.4.27, d.h. in dem heute erschienenen Kernel 2.4.28 sind die Probleme bereits gelöst.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

IBM Spectrum NAS: NAS-Software ist klein und leicht installierbar

IBMs neue Spectrum-NAS-Software verwaltet und erstellt NAS-Systeme als Teil von Software Defined Storage. Die Installation soll schnell vonstatten gehen und ist auf allen Knoten gleich, so dass korrumpierte Daten von anderen NAS-Systemen neu errechnet werden können - eine Art überdimensioniertes Raid 5.

Relevante Themen