SMB: Kritische Samba-Lücke bereits geschlossen

Ein Fehler in allen Samba-Versionen ermöglicht das Ausführen von Code mit Admin-Rechten. Angreifer müssen dafür nicht vom Server authentifiziert sein. Patches stehen jedoch auch für nicht mehr unterstützte Versionen bereit.

Artikel veröffentlicht am ,
Alle Samba-Versionen sind von dem Fehler betroffen.
Alle Samba-Versionen sind von dem Fehler betroffen. (Bild: Samba)

Angreifer können in sämtlichen Samba-Versionen des 3er Entwicklungszweiges über einen Fehler Root-Rechte erlangen. Dazu ist es nicht notwendig, eine authentifizierte Verbindung zu dem betroffenen Samba-Server zu besitzen. Das Samba-Team schreibt: "Das ist der schwerwiegendste Fehler, der in einem Programm möglich ist".

Stellenmarkt
  1. Systemadministration (m/w/d) Netzwerke und IT-Sicherheit
    Fachhochschule Südwestfalen, Hagen, Meschede
  2. IT Consultant S/4 HANA - MDG Materialstamm (m/w/d)
    Schaeffler Technologies AG & Co. KG, Nürnberg
Detailsuche

Der eigentliche Fehler liegt im Code-Generator von Samba für Remote Procedure Calls (RPC). Über diesen Fehler kann Code erzeugt werden, der es Nutzern erlaubt, zwei Variablen unabhängig voneinander zu überprüfen: die Länge eines Arrays sowie die Variable, die genutzt wird, um den Speicher für dieses Array zu belegen. Ein spezieller RPC erlaubt so das Ausführen beliebigen Codes.

Patches stehen für alle derzeit unterstützten Samba-Version zur Verfügung - 3.4, 3.5 und 3.6. Wegen der Schwere des Fehlers entschied sich das Samba-Team, auch Patches für alle nicht mehr offiziell unterstützten Versionen im 3er Entwicklungszweig bereitzustellen. Pakete für die verschiedenen Distributionen sollten demnächst folgen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Georg T.
Wieder Haft gegen Nichtzahler der Rundfunkgebühr

Georg T. sitzt seit 109 Tagen in Haft. Grund dafür sind 1.827 Euro Schulden für die Rundfunkgebühr - seine Haft kostet rund 18.000 Euro.

Georg T.: Wieder Haft gegen Nichtzahler der Rundfunkgebühr
Artikel
  1. Bitkom: Entscheidungsfreudiges Digitalministerium im Bund nötig
    Bitkom
    "Entscheidungsfreudiges" Digitalministerium im Bund nötig

    Die Verbände Bitkom und Eco sind sich beim Digitalministerium einig. Eine kompetente Führung sei gefragt.

  2. Streit mit den USA: EU stellt geplante Digitalsteuer zurück
    Streit mit den USA
    EU stellt geplante Digitalsteuer zurück

    Der Kampf um die internationale Mindeststeuer für IT-Konzerne geht in die nächste Runde.

  3. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

MichaelR 11. Apr 2012

Ich geh mal davon aus dass davon 1:1 auch sämtliche NAS-Geräte u. andere...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    •  /