Abo
  • Services:

SMB: Kritische Samba-Lücke bereits geschlossen

Ein Fehler in allen Samba-Versionen ermöglicht das Ausführen von Code mit Admin-Rechten. Angreifer müssen dafür nicht vom Server authentifiziert sein. Patches stehen jedoch auch für nicht mehr unterstützte Versionen bereit.

Artikel veröffentlicht am ,
Alle Samba-Versionen sind von dem Fehler betroffen.
Alle Samba-Versionen sind von dem Fehler betroffen. (Bild: Samba)

Angreifer können in sämtlichen Samba-Versionen des 3er Entwicklungszweiges über einen Fehler Root-Rechte erlangen. Dazu ist es nicht notwendig, eine authentifizierte Verbindung zu dem betroffenen Samba-Server zu besitzen. Das Samba-Team schreibt: "Das ist der schwerwiegendste Fehler, der in einem Programm möglich ist".

Stellenmarkt
  1. SIZ GmbH, Bonn
  2. MailStore Software GmbH, Viersen

Der eigentliche Fehler liegt im Code-Generator von Samba für Remote Procedure Calls (RPC). Über diesen Fehler kann Code erzeugt werden, der es Nutzern erlaubt, zwei Variablen unabhängig voneinander zu überprüfen: die Länge eines Arrays sowie die Variable, die genutzt wird, um den Speicher für dieses Array zu belegen. Ein spezieller RPC erlaubt so das Ausführen beliebigen Codes.

Patches stehen für alle derzeit unterstützten Samba-Version zur Verfügung - 3.4, 3.5 und 3.6. Wegen der Schwere des Fehlers entschied sich das Samba-Team, auch Patches für alle nicht mehr offiziell unterstützten Versionen im 3er Entwicklungszweig bereitzustellen. Pakete für die verschiedenen Distributionen sollten demnächst folgen.



Anzeige
Top-Angebote
  1. 704,99€ inkl. Versand (Vergleichspreis 748,88€)
  2. 49,99€/59,99€
  3. für 849€ (Einzelpreis der Grafikkarte im Vergleich teurer als das Bundle)

MichaelR 11. Apr 2012

Ich geh mal davon aus dass davon 1:1 auch sämtliche NAS-Geräte u. andere...


Folgen Sie uns
       


Asus ROG Phone - Hands On auf der Computex 2018

Das ROG ist ein interessantes Konzept, das sich schon beim an Gamer gerichteten Design von anderen Telefonen unterscheidet. Außergewöhnlich sind die vielen Zubehörteile: darunter ein Handheld-Adapter, ein Desktop-Dock, ein Anstecklüfter und ein Controllermodul. Wir haben es uns angeschaut.

Asus ROG Phone - Hands On auf der Computex 2018 Video aufrufen
Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Ingolstadt Flugtaxis sollen in Deutschland erprobt werden
  2. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  3. Cityairbus Mit Siemens soll das Lufttaxi abheben

In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
In eigener Sache
Freie Schreiber/-innen für Jobthemen gesucht

IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

  1. Leserumfrage Wie sollen wir Golem.de erweitern?
  2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
  3. Leserumfrage Wie gefällt Ihnen Golem.de?

Mars: Die Staubstürme des roten Planeten
Mars
Die Staubstürme des roten Planeten

Der Mars-Rover Opportunity ist nicht die erste Mission, die unter Staubstürmen leidet. Aber zumindest sind sie inzwischen viel besser verstanden als in der Frühzeit der Marsforschung.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Dunkle Nacht im Staubsturm auf dem Mars
  2. Mars Insight Ein Marslander ist nicht genug

    •  /