• IT-Karriere:
  • Services:

SMB: Kritische Samba-Lücke bereits geschlossen

Ein Fehler in allen Samba-Versionen ermöglicht das Ausführen von Code mit Admin-Rechten. Angreifer müssen dafür nicht vom Server authentifiziert sein. Patches stehen jedoch auch für nicht mehr unterstützte Versionen bereit.

Artikel veröffentlicht am ,
Alle Samba-Versionen sind von dem Fehler betroffen.
Alle Samba-Versionen sind von dem Fehler betroffen. (Bild: Samba)

Angreifer können in sämtlichen Samba-Versionen des 3er Entwicklungszweiges über einen Fehler Root-Rechte erlangen. Dazu ist es nicht notwendig, eine authentifizierte Verbindung zu dem betroffenen Samba-Server zu besitzen. Das Samba-Team schreibt: "Das ist der schwerwiegendste Fehler, der in einem Programm möglich ist".

Stellenmarkt
  1. CompuGroup Medical SE & Co. KGaA, Koblenz, Saarbrücken
  2. CodeMonks GmbH, Nürnberg (Home-Office möglich)

Der eigentliche Fehler liegt im Code-Generator von Samba für Remote Procedure Calls (RPC). Über diesen Fehler kann Code erzeugt werden, der es Nutzern erlaubt, zwei Variablen unabhängig voneinander zu überprüfen: die Länge eines Arrays sowie die Variable, die genutzt wird, um den Speicher für dieses Array zu belegen. Ein spezieller RPC erlaubt so das Ausführen beliebigen Codes.

Patches stehen für alle derzeit unterstützten Samba-Version zur Verfügung - 3.4, 3.5 und 3.6. Wegen der Schwere des Fehlers entschied sich das Samba-Team, auch Patches für alle nicht mehr offiziell unterstützten Versionen im 3er Entwicklungszweig bereitzustellen. Pakete für die verschiedenen Distributionen sollten demnächst folgen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

MichaelR 11. Apr 2012

Ich geh mal davon aus dass davon 1:1 auch sämtliche NAS-Geräte u. andere...


Folgen Sie uns
       


Besuch beim Cyberbunker

Wir haben uns den ominösen Cyberbunker an der Mosel oberhalb von Traben-Trarbach von außen angeschaut.

Besuch beim Cyberbunker Video aufrufen
Mario Kart Live im Test: Ein Klempner, der um Konsolen kurvt
Mario Kart Live im Test
Ein Klempner, der um Konsolen kurvt

In Mario Kart Live (Nintendo Switch) fährt ein Klempner durchs Wohnzimmer. Golem.de hat das Spiel mit einem Konsolen-Rennkurs ausprobiert.
Von Peter Steinlechner

  1. Nintendo Entwickler arbeiten offenbar an 4K-Updates für Switch Pro
  2. Nintendo Switch Mario Kart Live schickt Spielzeugauto auf VR-Rennstecke
  3. 8bitdo Controller macht die Nintendo Switch zum Arcade-Kabinett

The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper


    Philips-Leuchten-Konfigurator im Test: Die schicke Leuchte aus dem 3D-Drucker
    Philips-Leuchten-Konfigurator im Test
    Die schicke Leuchte aus dem 3D-Drucker

    Signify bietet mit Philips My Creation die Möglichkeit, eigene Leuchten zu kreieren. Diese werden im 3D-Drucker gefertigt - und sind von überraschend guter Qualität. Golem.de hat eine güldene Leuchte entworfen.
    Ein Test von Tobias Költzsch

    1. Smarte Leuchten mit Kurzschluss Netzteil-Rückruf bei Philips Hue Outdoor
    2. Signify Neue Lampen, Leuchten und Lightstrips von Philips Hue
    3. Signify Neue Philips-Hue-Produkte vorgestellt

      •  /