Abo
  • Services:
Anzeige

Schwere Sicherheitslücken in Samba

Zugriff auf das gesamte Dateisystem und Passwörter im Klartext

Mit drei Patches beheben Samba-Entwickler Fehler in ihrem Linux-File-Server für Windows-Freigaben. Die Patches schließen Lücken, die unter Umständen einen Zugriff auf das gesamte Dateisystem zulassen, DOS-Attacken ermöglichen oder Passwörter im Klartext anzeigen.

Der schwerwiegendste Fehler in Samba betrifft Benutzereinträge ohne Home-Verzeichnis, die in der Passwortverwaltung /etc/passwd vorhanden sind. Sofern unter Samba automatische Home-Freigaben aktiviert sind oder eine Freigabe für den Benutzer ohne Home-Verzeichnis eingerichtet ist, erhalten alle an dieser Freigabe angemeldeten Clients Zugriff auf das gesamte Dateisystem. Die Zugriffsrechte beschränken sich allerdings auf die des angemeldeten Benutzers.

Anzeige

Auch die zweite Lücke im Programm mount.cifs des Samba-Pakets betrifft alle Versionen. Ist mount.cifs mit dem Zusatz setuid gestartet, kann sich ein Benutzer normalerweise per Authentifizierungs- oder Passwortdatei anmelden. Ohne Patch fragt mount-cifs nicht ab, ob ein Benutzer Root-Rechte benötigt, um die Passwortdatei zu übergeben. Außerdem kann mit dem Parameter "--verbose", die erste Zeile des Inhalts einer Passwortdatei bei der Übergabe an den Kernel abgefragt werden.

Die dritte, eher selten auftauchende Lücke, die alle Versionen ab Samba 3.0.11 betrifft, ermöglicht eine DoS-Attacke auf den Samba-Dienst smbd, wenn dieser von einem Client eine unerwartete Antwort auf eine "oplock break"-Mitteilung erhält. Der Samba-Daemon belastet daraufhin die CPU auf bis zu 100 Prozent und friert damit den Server ein.

Samba-Entwickler raten dringend zu einem Update, die mit Patches versehenen Dateien liegen für sämtliche relevanten Versionen unter samba.org zum Download bereit. [von Jörg Thoma]


eye home zur Startseite
rap123 06. Okt 2009

Warum kaufst du dir dann ein Maxtor Gerät, wenn du weißt, dass es kein Firmwareupgrade...

rap123 06. Okt 2009

Wenn es für deine tolle Friz-Box kein Firmwareupgrade geben sollte, dann ist ja wohl der...

rap123 06. Okt 2009

Natürlich ist Samba Open Source

Tingelchen 05. Okt 2009

Hmm... warum? ^^



Anzeige

Stellenmarkt
  1. DIgSILENT GmbH, Gomaringen
  2. Nash direct GmbH, Stuttgart oder Ulm
  3. Techniker Krankenkasse, Hamburg
  4. Dr. August Oetker Nahrungsmittel KG, Bielefeld


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  2. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  3. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

  4. Antec P110 Silent

    Gedämmter Midi-Tower hat austauschbare Staubfilter

  5. Pilotprojekt am Südkreuz

    De Maizière plant breiten Einsatz von Gesichtserkennung

  6. Spielebranche

    WW 2 und Battlefront 2 gewinnen im November-Kaufrausch

  7. Bauern

    Deutlich über 80 Prozent wollen FTTH

  8. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  9. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On

  10. FTTH

    Bauern am Glasfaserpflug arbeiten mit Netzbetreibern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Ticket Deutschland bei der BVG: Bewegungspunkt am Straßenstrich
E-Ticket Deutschland bei der BVG
Bewegungspunkt am Straßenstrich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

LG 32UD99-W im Test: Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
LG 32UD99-W im Test
Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
  1. Android-Updates Krack-Patches für Android, aber nicht für Pixel-Telefone
  2. Check Point LGs smarter Staubsauger lässt sich heimlich fernsteuern

Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

  1. Re: Kein 5,25"-Schacht => kein Kauf!

    Der Held vom... | 11:44

  2. Re: Laaangweilig

    Andi K. | 11:41

  3. Re: "eine Lösung im Sinne der Kunden"

    ManuPhennic | 11:40

  4. Re: Die Angst der Deutschen vor ihrem Staat

    Yash | 11:37

  5. Re: Sich zu verstecken nutzt auch nichts

    Tuxgamer12 | 11:37


  1. 11:39

  2. 09:03

  3. 17:47

  4. 17:38

  5. 16:17

  6. 15:50

  7. 15:25

  8. 15:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel