SMB: Kritische Samba-Lücke bereits geschlossen

Ein Fehler in allen Samba-Versionen ermöglicht das Ausführen von Code mit Admin-Rechten. Angreifer müssen dafür nicht vom Server authentifiziert sein. Patches stehen jedoch auch für nicht mehr unterstützte Versionen bereit.

Artikel veröffentlicht am ,
Alle Samba-Versionen sind von dem Fehler betroffen.
Alle Samba-Versionen sind von dem Fehler betroffen. (Bild: Samba)

Angreifer können in sämtlichen Samba-Versionen des 3er Entwicklungszweiges über einen Fehler Root-Rechte erlangen. Dazu ist es nicht notwendig, eine authentifizierte Verbindung zu dem betroffenen Samba-Server zu besitzen. Das Samba-Team schreibt: "Das ist der schwerwiegendste Fehler, der in einem Programm möglich ist".

Der eigentliche Fehler liegt im Code-Generator von Samba für Remote Procedure Calls (RPC). Über diesen Fehler kann Code erzeugt werden, der es Nutzern erlaubt, zwei Variablen unabhängig voneinander zu überprüfen: die Länge eines Arrays sowie die Variable, die genutzt wird, um den Speicher für dieses Array zu belegen. Ein spezieller RPC erlaubt so das Ausführen beliebigen Codes.

Patches stehen für alle derzeit unterstützten Samba-Version zur Verfügung - 3.4, 3.5 und 3.6. Wegen der Schwere des Fehlers entschied sich das Samba-Team, auch Patches für alle nicht mehr offiziell unterstützten Versionen im 3er Entwicklungszweig bereitzustellen. Pakete für die verschiedenen Distributionen sollten demnächst folgen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
A Plague Tale Requiem
Mit den richtigen Tricks schaffen kleine Teams tolle Grafik

GDC 2023 A Plague Tale Requiem sieht spektakulär aus - trotz eines relativ kleinen Teams und mit wenig Budget. Ein Macher erklärt, wie das funktioniert hat.

A Plague Tale Requiem: Mit den richtigen Tricks schaffen kleine Teams tolle Grafik
Artikel
  1. ChatGPT: OpenAI behebt Fehler, der Nutzern fremde Daten anzeigte
    ChatGPT
    OpenAI behebt Fehler, der Nutzern fremde Daten anzeigte

    Nachdem anderen Nutzern kurze Zusammenfassungen von ChatGPT-Konversationen angezeigt wurden, konnte OpenAI das Problem beheben.

  2. CS GO mit Source 2: Das ist Valves Counter-Strike 2
    CS GO mit Source 2
    Das ist Valves Counter-Strike 2

    Es ist offiziell: Valve stellt Counter-Strike 2 vor. Die Source-2-Engine bringt neues Gameplay und soll klassische Tickraten loswerden.

  3. Autonomes Fahren: VW will Argo-AI-Mitarbeiter in Deutschland übernehmen
    Autonomes Fahren
    VW will Argo-AI-Mitarbeiter in Deutschland übernehmen

    Nachdem VW seine Investitionen in Argo AI beendet hat, will das Unternehmen nun die Angestellten in Deutschland übernehmen - und wohl in Cariad integrieren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Ryzen 9 7900X3D 619€ • Crucial SSD 2TB (PS5) 158€ • Neu: Amazon Smart TVs ab 189€ • Nur bis 24.03.: 38GB Allnet-Flat 12,99€ • MindStar: Ryzen 9 5900X 319€ • Nintendo Switch inkl. Spiel & Goodie 288€ • NBB Black Weeks: Rabatte bis 60% • PS5 + Spiel 569€ • LG OLED TV -57% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /