Abo
  • Services:

Potenzielle Samba-Schwachstelle erlaubt Dateizugriff

Angreifer erhalten über symbolische Links Zugriff auf Wurzelverzeichnis

Über eine Schwachstelle im Samba-Dateiserver können Angreifer Zugriff auf das Rootverzeichnis des Systems erlangen. Der Angriff über das sogenannte Directory Traversing erfolgt über speziell präparierte Symlinks.

Artikel veröffentlicht am ,
Potenzielle Samba-Schwachstelle erlaubt Dateizugriff

Da Samba mit Root-Rechten läuft, kann ein Angreifer über speziell präparierte Verknüpfungen unter Umständen auf das gesamte System samt Rootverzeichnis zugreifen. Bislang wird ein speziell angepasster SMB-Client benötigt, um die entsprechende Verknüpfung anzulegen und dadurch die Schwachstelle zu aktivieren. Zudem benötigt der Angreifer ein gültiges Konto auf dem Server und eine Freigabe mit Schreibrechten. Sind auf dem Server die Schreibrechte für Gäste aktiviert, ist nicht einmal ein gültiges Konto nötig.

Stellenmarkt
  1. JSP International GmbH & Co. KG, Deutschland, Frankreich
  2. Helvetia Schweizerische Versicherungsgesellschaft AG, Frankfurt

Ein angepasster SMB-Client ist bereits für das Exploit-Framework Metasploit verfügbar, nachdem der Entdecker der Schwachstelle Nikolaos Rangos einen entsprechenden Patch veröffentlicht hatte. Samba erlaubt das Anlegen von symbolischen Verknüpfungen im Rahmen der sogenannten Unix-Extensions für Windows-Rechner.

Für den Fehler gibt es gegenwärtig noch keinen Patch. Die Samba-Entwickler raten deshalb, im Abschnitt "Global" die Option "wide links=" auf "no" zu setzen. Gegenwärtig gilt für die Option standardmäßig der Wert "yes". In künftigen Samba-Versionen wollen die Entwickler den Default-Wert ändern.



Anzeige
Top-Angebote
  1. 469€ (Vergleichspreis ca. 520€)
  2. (aktuell u. a. ADATA DashDrive Air AV200 ab 29€ statt 59€ im Vergleich, be quiet! DARK BASE PRO...

Feature Abc 09. Feb 2010

Für chroot-User gilt dann, "du komscht hier nicht rein". Die haben in /tmp auch nix zu...

blub 08. Feb 2010

wo ist siga eigentlich? ich hab in den letzten wochen nur posts von seinen...

WhoDat 08. Feb 2010

Wenn du das fragen mußt, bist du für Online-Journalismus wie gemacht!

asdfg 08. Feb 2010

Die WindowsNETZanbindung läuft MITTELS Samba.


Folgen Sie uns
       


Dragon Quest 11 - Test

Der 11. der Teil der Dragon-Quest-Reihe bleibt bei den Wurzeln der über 30 Jahre alten Serie und macht damit fast alles richtig.

Dragon Quest 11 - Test Video aufrufen
Agilität: Wenn alle bestimmen, wo es langgeht
Agilität
Wenn alle bestimmen, wo es langgeht

Agiles Arbeiten ist, als ob viele Menschen gemeinsam ein Auto fahren. Aber wie soll das gehen und endet das nicht im Riesenchaos?
Von Marvin Engel

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp
  3. IT-Jobs "Jedes Unternehmen kann es besser machen"

Nach Skandal-Rede: Verschwörungstheoretiker Maaßen in den Ruhestand versetzt
Nach Skandal-Rede
"Verschwörungstheoretiker" Maaßen in den Ruhestand versetzt

Aus dem Wechsel ins Innenministerium wird nun doch nichts. Innenminister Seehofer kann an Verfassungsschutzchef Maaßen nach einer umstrittenen Rede nicht mehr festhalten.

  1. Geheimdienstkontrolle Maaßens Rede wurde von Whistleblower geleakt
  2. Koalitionsstreit beendet Maaßen wird Sonderberater Seehofers
  3. Nach Chemnitz-Äußerungen Seehofer holt sich Verfassungsschutzchef Maaßen

Flexibles Smartphone: Samsung verspielt die Smartphone-Führung
Flexibles Smartphone
Samsung verspielt die Smartphone-Führung

Jahrelang dominierte Samsung den Smartphone-Markt mit Innovationen, in den vergangenen Monaten verliert der südkoreanische Hersteller aber das Momentum. Krönung dieser Entwicklung ist das neue flexible Nicht-Smartphone - die Konkurrenz aus China dürfte feiern.
Eine Analyse von Tobias Költzsch

  1. Flexibles Display Samsungs faltbares Smartphone soll im März 2019 erscheinen
  2. Samsung Linux-on-Dex startet in privater Beta
  3. Infinity Flex Samsung zeigt statt Smartphone nur faltbares Display

    •  /