Abo
  • Services:

Potenzielle Samba-Schwachstelle erlaubt Dateizugriff

Angreifer erhalten über symbolische Links Zugriff auf Wurzelverzeichnis

Über eine Schwachstelle im Samba-Dateiserver können Angreifer Zugriff auf das Rootverzeichnis des Systems erlangen. Der Angriff über das sogenannte Directory Traversing erfolgt über speziell präparierte Symlinks.

Artikel veröffentlicht am ,
Potenzielle Samba-Schwachstelle erlaubt Dateizugriff

Da Samba mit Root-Rechten läuft, kann ein Angreifer über speziell präparierte Verknüpfungen unter Umständen auf das gesamte System samt Rootverzeichnis zugreifen. Bislang wird ein speziell angepasster SMB-Client benötigt, um die entsprechende Verknüpfung anzulegen und dadurch die Schwachstelle zu aktivieren. Zudem benötigt der Angreifer ein gültiges Konto auf dem Server und eine Freigabe mit Schreibrechten. Sind auf dem Server die Schreibrechte für Gäste aktiviert, ist nicht einmal ein gültiges Konto nötig.

Stellenmarkt
  1. ESG Elektroniksystem- und Logistik-GmbH, München, Wolfsburg
  2. Bosch Gruppe, Reutlingen

Ein angepasster SMB-Client ist bereits für das Exploit-Framework Metasploit verfügbar, nachdem der Entdecker der Schwachstelle Nikolaos Rangos einen entsprechenden Patch veröffentlicht hatte. Samba erlaubt das Anlegen von symbolischen Verknüpfungen im Rahmen der sogenannten Unix-Extensions für Windows-Rechner.

Für den Fehler gibt es gegenwärtig noch keinen Patch. Die Samba-Entwickler raten deshalb, im Abschnitt "Global" die Option "wide links=" auf "no" zu setzen. Gegenwärtig gilt für die Option standardmäßig der Wert "yes". In künftigen Samba-Versionen wollen die Entwickler den Default-Wert ändern.



Anzeige
Hardware-Angebote
  1. auf ausgewählte Corsair-Netzteile
  2. (reduzierte Überstände, Restposten & Co.)

Feature Abc 09. Feb 2010

Für chroot-User gilt dann, "du komscht hier nicht rein". Die haben in /tmp auch nix zu...

blub 08. Feb 2010

wo ist siga eigentlich? ich hab in den letzten wochen nur posts von seinen...

WhoDat 08. Feb 2010

Wenn du das fragen mußt, bist du für Online-Journalismus wie gemacht!

asdfg 08. Feb 2010

Die WindowsNETZanbindung läuft MITTELS Samba.


Folgen Sie uns
       


Samsung Flip - Test

Das Samsung Flip ist ein Smartboard, das auf eingängige Weise Präsentationen oder Meetings im Konferenzraum ermöglicht. Auf dem 55 Zoll großen Bildschirm lässt es sich schreiben oder zeichnen - doch erst, wenn wir ein externes Gerät daran anschließen, entfaltet es sein komplettes Potenzial.

Samsung Flip - Test Video aufrufen
32-Kern-CPU: Threadripper 2990WX läuft mit Radeons besser
32-Kern-CPU
Threadripper 2990WX läuft mit Radeons besser

Auch wenn AMDs neuer Threadripper 2990WX mit 32 CPU-Kernen sich definitiv nicht primär an Spieler richtet, taugt er für Games. Kombiniert mit einer Geforce-Grafikkarte bricht die Bildrate allerdings teils massiv ein, mit einem Radeon-Modell hingegen nur sehr selten.
Ein Bericht von Marc Sauter

  1. Threadripper 2990WX AMDs 32-Kerner kostet weniger als Intels 18-Kerner
  2. Zhongshan Subor Z+ AMD baut SoC mit PS4-Pro-Leistung für chinesische Konsole
  3. Hygon Dhyana China baut CPUs mit AMDs Zen-Technik

IT-Jobs: Achtung! Agiler Coach gesucht?
IT-Jobs
Achtung! Agiler Coach gesucht?

Überall werden sie gesucht, um den digitalen Wandel voranzutreiben: agile Coaches. In den Jobbeschreibungen warten spannende Aufgaben, jedoch müssen Bewerber aufpassen, dass sie die richtigen Fragen stellen, wenn sie etwas bewegen möchten.
Von Marvin Engel

  1. Wework Die Kaffeeautomatisierung des Lebens
  2. IT-Jobs Fünf neue Mitarbeiter in fünf Wochen?
  3. Frauen in IT-Berufen Programmierte Klischees

IMHO: Heilloses Durcheinander bei Netflix und Amazon Prime
IMHO
Heilloses Durcheinander bei Netflix und Amazon Prime

Es könnte alles so schön sein abseits vom klassischen Fernsehen. Netflix und Amazon Prime bieten modernes Encoding, 4K-Auflösung, HDR-Farben und -Lichter, flüssige Kamerafahrten wie im Kino - leider nur in der Theorie, denn sie bringen es nicht zum Kunden.
Ein IMHO von Michael Wieczorek

  1. IMHO Ein Lob für Twitter und Github
  2. Linux Mit Ignoranz gegen die GPL
  3. Sicherheit Tag der unsinnigen Passwort-Ratschläge

    •  /