• IT-Karriere:
  • Services:

Active Directory: Samba-Nutzer können Admin-Passwort ändern

Wird der freie Serverdienst Samba als Domain-Controller für Active Directory genutzt, kann dieser von seinen eigenen Nutzern übernommen werden. Auf diese Lücke weist das Samba-Team hin und stellt Patches bereit. Eine DDOS-Lücke wird ebenfalls behoben.

Artikel veröffentlicht am , Ulrich Bantle/Linux Magazin/
Bei Samba kann man ohne Updates auch andere Passwörter eingeben und nutzen.
Bei Samba kann man ohne Updates auch andere Passwörter eingeben und nutzen. (Bild: Marc Falardeau, flickr.com/CC-BY 2.0)

Mit den aktuellen Samba-Versionen 4.7.6, 4.6.14 und 4.5.16 werden zwei Sicherheitslücken beseitigt, die von den Entwicklern des freien Serverdienstes als besonders kritisch bewertet werden. So ermöglicht es der Serverdienst unter Umständen, dass authentifizierte Nutzer das Passwort anderer Nutzer ändern können. Das Passwort des Administrators zählt hier explizit dazu. Nutzer könnten also relativ leicht die Serverinstanz übernehmen, Angreifer, die an Logindaten der Nutzer kommen, natürlich auch.

Stellenmarkt
  1. über duerenhoff GmbH, Münster
  2. über duerenhoff GmbH, Stuttgart

Diese Lücke hat die CVE-Nummer CVE-2018-1057 bekommen und hängt mit einem Fehler des LDAP-Servers ab Samba 4 zusammen, also mit dem Verzeichnisdienst, über den etwa Anmeldedaten verwaltet werden können. Diese von Samba-Sponsor Sernet gefundene Lücke tritt wohl aber nur dann auf, wenn Samba als Domain Controller für ein Active Directory eingesetzt wird. Letzteres ist eben ab Version 4.0 möglich.

DDOS auf Druckserver

Eine zweite Sicherheitslücke mit der CVE-Nummer CVE-2018-1050, die das Samba-Team ebenfalls behoben hat, ermöglicht eine Denial-of-Service-Attacke auf externe Printserver, heißt es in der Beschreibung. Hiervon seien ebenso alle Samba-Versionen ab 4.0 betroffen. Voraussetzung für die Ausnutzung dieser Lücke sei, dass der RPC-Spoolss-Service als externer Daemon konfiguriert ist.

Die neuen Versionen, die die Lücken schließen, gibt es auf der Webseite des Samba-Projekts zum Download. Linux-Distributionen sollten entsprechende Pakete als Update anbieten. Im Projektwiki stellt das Team außerdem Details und Informationen für Admins samt Workarounds zu CVE-2018-1057 bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 26,99€
  2. 4,19€
  3. (-73%) 15,99€
  4. (-70%) 17,99€

Suchiman 13. Mär 2018

Eine Denial-Of-Service Lücke hat nichts zu tun mit einer Distributed-Denial-Of-Service...


Folgen Sie uns
       


Oneplus 8 Pro - Test

Das Oneplus 8 Pro hat eine Vierfachkamera, einen hochauflösenden Bildschirm mit hoher Bildrate und lässt sich endlich auch drahtlos laden - wir haben uns das Smartphone genau angeschaut.

Oneplus 8 Pro - Test Video aufrufen
Star Wars The Clone Wars: Das beste Star Wars seit der Ur-Trilogie
Star Wars The Clone Wars
Das beste Star Wars seit der Ur-Trilogie

Die Animationsserie Star Wars: The Clone Wars schafft es, selbst größte Prequel-Hasser zu berühren - mit tollen neuen Charakteren.
Eine Rezension von Oliver Nickel

  1. Star Wars Darth Vader und mehr Machtspiele
  2. Star Wars Taika Waititi für nächsten Star-Wars-Film verantwortlich
  3. Star Wars Disney erntet veritablen Shitstorm mit Star-Wars-Hashtag

Zhaoxin KX-U6780A im Test: Das kann Chinas x86-Prozessor
Zhaoxin KX-U6780A im Test
Das kann Chinas x86-Prozessor

Nicht nur AMD und Intel entwickeln x86-Chips, sondern auch Zhaoxin. Deren Achtkern-CPU fasziniert uns trotz oder gerade wegen ihrer Schwächen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. KH-40000 & KX-7000 Zhaoxin plant x86-Chips mit 32 Kernen

Thinkpad DIY: Wie ich meinen alten Laptop fit für die Zukunft mache
Thinkpad DIY
Wie ich meinen alten Laptop fit für die Zukunft mache

Mit ein paar neuen Teilen und etwas Bastelei kann mein acht Jahre altes Thinkpad wieder mit den Laptops der Kollegen mithalten.
Ein Erfahrungsbericht von Moritz Tremmel

  1. MNT Reform Preis des quelloffenen Selbstbau-Laptops steht fest
  2. Golem.de-Hobbys fürs Social Distancing "Sie haben Ihre Schiffchen kaputt gemacht!"
  3. Arduino Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel

    •  /