Abo
  • Services:

Active Directory: Samba-Nutzer können Admin-Passwort ändern

Wird der freie Serverdienst Samba als Domain-Controller für Active Directory genutzt, kann dieser von seinen eigenen Nutzern übernommen werden. Auf diese Lücke weist das Samba-Team hin und stellt Patches bereit. Eine DDOS-Lücke wird ebenfalls behoben.

Artikel veröffentlicht am , Ulrich Bantle/Linux Magazin/
Bei Samba kann man ohne Updates auch andere Passwörter eingeben und nutzen.
Bei Samba kann man ohne Updates auch andere Passwörter eingeben und nutzen. (Bild: Marc Falardeau, flickr.com/CC-BY 2.0)

Mit den aktuellen Samba-Versionen 4.7.6, 4.6.14 und 4.5.16 werden zwei Sicherheitslücken beseitigt, die von den Entwicklern des freien Serverdienstes als besonders kritisch bewertet werden. So ermöglicht es der Serverdienst unter Umständen, dass authentifizierte Nutzer das Passwort anderer Nutzer ändern können. Das Passwort des Administrators zählt hier explizit dazu. Nutzer könnten also relativ leicht die Serverinstanz übernehmen, Angreifer, die an Logindaten der Nutzer kommen, natürlich auch.

Stellenmarkt
  1. SYNLAB Holding Deutschland GmbH, Augsburg, Leverkusen
  2. Randstad Deutschland GmbH & Co. KG, Trier

Diese Lücke hat die CVE-Nummer CVE-2018-1057 bekommen und hängt mit einem Fehler des LDAP-Servers ab Samba 4 zusammen, also mit dem Verzeichnisdienst, über den etwa Anmeldedaten verwaltet werden können. Diese von Samba-Sponsor Sernet gefundene Lücke tritt wohl aber nur dann auf, wenn Samba als Domain Controller für ein Active Directory eingesetzt wird. Letzteres ist eben ab Version 4.0 möglich.

DDOS auf Druckserver

Eine zweite Sicherheitslücke mit der CVE-Nummer CVE-2018-1050, die das Samba-Team ebenfalls behoben hat, ermöglicht eine Denial-of-Service-Attacke auf externe Printserver, heißt es in der Beschreibung. Hiervon seien ebenso alle Samba-Versionen ab 4.0 betroffen. Voraussetzung für die Ausnutzung dieser Lücke sei, dass der RPC-Spoolss-Service als externer Daemon konfiguriert ist.

Die neuen Versionen, die die Lücken schließen, gibt es auf der Webseite des Samba-Projekts zum Download. Linux-Distributionen sollten entsprechende Pakete als Update anbieten. Im Projektwiki stellt das Team außerdem Details und Informationen für Admins samt Workarounds zu CVE-2018-1057 bereit.



Anzeige
Blu-ray-Angebote
  1. ab je 2,49€ kaufen
  2. 4,25€

Suchiman 13. Mär 2018

Eine Denial-Of-Service Lücke hat nichts zu tun mit einer Distributed-Denial-Of-Service...


Folgen Sie uns
       


No Man's Sky Next - Golem.de Live

Kommet und sehet, wie ein Weltraumbummler an nur einem Abend alles verliert.

No Man's Sky Next - Golem.de Live Video aufrufen
Computacenter: So gewinnt ein IT-Unternehmen Mitarbeiterinnen
Computacenter
So gewinnt ein IT-Unternehmen Mitarbeiterinnen

Frauen hätten weniger Interesse an IT-Berufen als Männer und daran könne man nichts ändern, wird oft behauptet. Der IT-Dienstleister Computacenter hat andere Erfahrungen gemacht.
Ein Interview von Juliane Gringer

  1. Studitemps Einige Studierende verdienen in der IT unter Mindestlohn
  2. SAP-Berater Der coolste Job nach Tourismusmanager und Bierbrauer
  3. Digital Office Index 2018 Jeder zweite Beschäftigte sitzt am Computer

Flugautos und Taxidrohnen: Der Nahverkehr erobert die dritte Dimension
Flugautos und Taxidrohnen
Der Nahverkehr erobert die dritte Dimension

In Science-Fiction-Filmen gehören sie zur üblichen Ausstattung: kleine Fluggeräte, die einen oder mehrere Passagiere durch die Luft befördern, sei es pilotiert oder autonom. Bald könnte die Vision aber Realität werden: Eine Reihe von Unternehmen entwickelt solche Individualflieger. Eine Übersicht.
Ein Bericht von Werner Pluta

  1. Flughafen Ingenieure bringen Drohne das Vögelhüten bei
  2. Militär US-Verteidigungsministerium finanziert Flugtaxis
  3. Gofly Challenge Boeing zeichnet zehn Fluggeräte für jedermann aus

Gesetzesvorschlag: Regierung fordert Duldung privater Ladesäulen
Gesetzesvorschlag
Regierung fordert Duldung privater Ladesäulen

Die Bundesregierung hat ihren Entwurf zur Förderung privater Ladestationen für Elektroautos vorgelegt. Sowohl Mieter als auch Eigentümer erhalten damit einen gesetzlichen Anspruch. Aber es kann sehr teuer werden.
Ein Bericht von Friedhelm Greis

  1. Elektrogeländewagen Bollinger will Teslas Supercharger-Netzwerk nutzen
  2. Sono Motors Elektroauto Sion für 16.000 Euro schon 7.000 Mal reserviert
  3. Elektromobilität iEV X ist ein Ausziehelektroauto

    •  /