Ein Patch für die Dateisystem-Software Samba behebt eine kritische Schwachstelle. Ein Angreifer im lokalen Netz könnte die Kontrolle über Server oder Client übernehmen, der eine anfällige Version des NetBIOS-Name-Services-Daemons nmbd einsetzt. Betroffen sind alle Versionen ab Samba 4 vom Dezember 2012, also 4.x.x.
Die aktuellen Samba-Versionen sind 4.1.11 und 4.0.21. Beide waren erst in den letzten Tagen veröffentlicht worden, um eine Reihe nicht sicherheitsrelevanter Fehler zu beheben. Auch für Samba 4.1.10 und 4.0.20 sind Fehlerkorrekturen verfügbar.
Samba ist eine quelloffene Implementierung des Netzwerk-Filesharing-Protokolls SMB/CIFS, das vor allem Microsofts Windows nutzt. Sambas Existenzberechtigung ist es vor allem, dass es Nicht-Windows-Systeme zu solchen Netzen kompatibel macht. Die Aufgabe speziell der Serverkomponente nmbd besteht darin, NetBIOS-Anfragen über IP-Netze zu beantworten und dabei NetBIOS-Namen mit IP-Adressen zu korrelieren.
Um die Schwachstelle zu nutzen, kann ein bösartiges System mit Zugriff aufs lokale Netz „Pakete senden, die den dynamischen Speicher des Daemaons nmbd des Ziels überschreiben. Es könnte möglich sein, dies zu nutzen, um als Superuser (Root) eine Schwachstelle für die Remote-Codeausführung zu generieren“, heißt es auf den Projektseiten.
Die Patches und neuen Versionen sind zwar bei Samba selbst verfügbar, ihre Verteilung über von vielen Anwendern genutzte Dienste könnte aber noch einige Zeit dauern. Beispielsweise enthält Ubuntu derzeit noch Samba 4.1.6 vom März 2014.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…