Schwere Sicherheitslücken in Samba

Zugriff auf das gesamte Dateisystem und Passwörter im Klartext

Mit drei Patches beheben Samba-Entwickler Fehler in ihrem Linux-File-Server für Windows-Freigaben. Die Patches schließen Lücken, die unter Umständen einen Zugriff auf das gesamte Dateisystem zulassen, DOS-Attacken ermöglichen oder Passwörter im Klartext anzeigen.

Artikel veröffentlicht am ,

Der schwerwiegendste Fehler in Samba betrifft Benutzereinträge ohne Home-Verzeichnis, die in der Passwortverwaltung /etc/passwd vorhanden sind. Sofern unter Samba automatische Home-Freigaben aktiviert sind oder eine Freigabe für den Benutzer ohne Home-Verzeichnis eingerichtet ist, erhalten alle an dieser Freigabe angemeldeten Clients Zugriff auf das gesamte Dateisystem. Die Zugriffsrechte beschränken sich allerdings auf die des angemeldeten Benutzers.

Stellenmarkt
  1. Digital Service Coordinator (m/w/d)
    Samsung Electronics GmbH, Frankfurt am Main
  2. IT-Mitarbeiter (m/w/d) Support / Helpdesk
    Hülskens Holding GmbH & Co. KG, Wesel
Detailsuche

Auch die zweite Lücke im Programm mount.cifs des Samba-Pakets betrifft alle Versionen. Ist mount.cifs mit dem Zusatz setuid gestartet, kann sich ein Benutzer normalerweise per Authentifizierungs- oder Passwortdatei anmelden. Ohne Patch fragt mount-cifs nicht ab, ob ein Benutzer Root-Rechte benötigt, um die Passwortdatei zu übergeben. Außerdem kann mit dem Parameter "--verbose", die erste Zeile des Inhalts einer Passwortdatei bei der Übergabe an den Kernel abgefragt werden.

Die dritte, eher selten auftauchende Lücke, die alle Versionen ab Samba 3.0.11 betrifft, ermöglicht eine DoS-Attacke auf den Samba-Dienst smbd, wenn dieser von einem Client eine unerwartete Antwort auf eine "oplock break"-Mitteilung erhält. Der Samba-Daemon belastet daraufhin die CPU auf bis zu 100 Prozent und friert damit den Server ein.

Samba-Entwickler raten dringend zu einem Update, die mit Patches versehenen Dateien liegen für sämtliche relevanten Versionen unter samba.org zum Download bereit. [von Jörg Thoma]

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


rap123 06. Okt 2009

Warum kaufst du dir dann ein Maxtor Gerät, wenn du weißt, dass es kein Firmwareupgrade...

rap123 06. Okt 2009

Wenn es für deine tolle Friz-Box kein Firmwareupgrade geben sollte, dann ist ja wohl der...

rap123 06. Okt 2009

Natürlich ist Samba Open Source

Tingelchen 05. Okt 2009

Hmm... warum? ^^



Aktuell auf der Startseite von Golem.de
Gene Roddenberrys andere Sci-Fi-Stoffe
Neben Star Trek leider fast vergessen

Der Name Gene Roddenberry steht vor allem für Star Trek. Nach dem Ende der klassischen Serie hat er aber noch andere Science-Fiction-Stoffe entwickelt.
Von Peter Osteried

Gene Roddenberrys andere Sci-Fi-Stoffe: Neben Star Trek leider fast vergessen
Artikel
  1. Illegales Streaming: House of Dragons bei Piraten beliebter als Ringe der Macht
    Illegales Streaming
    House of Dragons bei Piraten beliebter als Ringe der Macht

    Das Game-of-Thrones-Prequel hat mehr Zuschauer als die neue Herr-der-Ringe-Serie - zumindest via Bittorrent.

  2. Carsten Spohr: Lufthansa-Chef wird Opfer eigener Sicherheitslücke
    Carsten Spohr
    Lufthansa-Chef wird Opfer eigener Sicherheitslücke

    Unbekannte haben einen QR-Code auf einem Boardingpass von Lufthansa-Chef Carsten Spohr ausgelesen und auf persönliche Daten zugreifen können.

  3. Softwareentwicklung: Erste Schritte mit dem modernen Framework Flutter
    Softwareentwicklung
    Erste Schritte mit dem modernen Framework Flutter

    Flutter ist ein tolles und einfach zu erlernendes Framework, vor allem für die Entwicklung mobiler Apps. Eine Anleitung für ein erstes kleines Projekt.
    Eine Anleitung von Pascal Friedrich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: Bis -53% auf Gaming-Zubehör und bis -45% auf PC-Audio • Crucial 16-GB-Kit DDR5-4800 69,99€ • Crucial P2 1 TB 67,90€ • MindStar (u. a. Intel Core i5-12600 239€ und Fastro 2-TB-SSD 128€) • Logitech G Pro Gaming Keyboard 77,90€ • Apple iPhone 12 64 GB 659€ [Werbung]
    •  /