Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Samba: Version 3.5.5 schließt Sicherheitslücke

Das Samba-Team warnt vor einer Sicherheitslücke in allen Versionen von 3.0.x bis 3.5.x des freien SMB-Servers. Es hat die Version 3.5.5 veröffentlicht, die diese Lücke schließt. Patches für weitere Versionen liegen ebenfalls vor.
/ Jörg Thoma
2 Kommentare News folgen (öffnet im neuen Fenster)

Samba-Entwickler haben eine Sicherheitslücke geschlossen, über die ein Samba-Client eine maliziöse Windows-Security-ID (SID) in binärer Form an einen Samba-Server verschicken und einen Stack-Overflow in der Variablen auslösen kann, in der die SID gespeichert wird.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Administrator*in für den IT-Service Storage IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Mitarbeiter/-in im IT-Support & Helpdesk (m/w/d) - CIT2025-41 Technische Universität München, München (öffnet im neuen Fenster)
Firewall- und Netzwerkadministrator (m/w/d) FREICON GmbH & Co. KG, Bremen,Freiburg (öffnet im neuen Fenster)
Master-Student Anwendungsmanagement Laborinformationssystem (LIS) (m/w/d) MDI Limbach Berlin GmbH, Berlin (öffnet im neuen Fenster)
Digital Project Manager (m/w/d) R+W Antriebselemente GmbH, Wörth am Main (öffnet im neuen Fenster)
Referent (m/w/d) Innovation AOK Bayern - Die Gesundheitskasse, (öffnet im neuen Fenster)
Data Architect (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)
Mitarbeiter:innen (w/m/d) für die IT-Koordination der kvw-Beamtenversorgung, der kvw-Beihilfekasse und der kvw-Zusatzversorgung Kommunale Versorgungskassen Westfalen-Lippe, Münster (öffnet im neuen Fenster)

Die Buffer-Underrun-Lücke kann durch die fehlerhafte Funktion sid_parse() und die verwandte Funktion dom_sid_parse() ausgelöst werden. Beim Lesen der SIDs wird deren Zeichenlänge nicht korrekt überprüft. Über die Schwachstelle kann Code mit Root-Rechten eingeschleust und ausgeführt werden. Die Lücke kann über eine authentifizierte oder über eine nichtauthentifizierte Verbindung ausgenutzt werden.

Das Samba-Team empfiehlt, sobald wie möglich die fehlerbereinigte Version 3.5.5 einzuspielen. Für Ubuntu 6.06 LTS bis 10.04 LTS stehen bereits Onlineupdates zur Verfügung. Der Quellcode steht unter samba.org(öffnet im neuen Fenster) zum Download bereit. Für die Versionen 3.3.13 und 3.4.8 haben die Entwickler ebenfalls Patches veröffentlicht(öffnet im neuen Fenster) .

Zur Startseite 2 Kommentare

Relevante Themen

Open SourceSoftwareSecuritySicherheitslückeWissenDatensicherheitServerApplikationen