Ein Patch für die Dateisystem-Software Samba behebt eine kritische Schwachstelle. Ein Angreifer im lokalen Netz könnte die Kontrolle über Server oder Client übernehmen, der eine anfällige Version des NetBIOS-Name-Services-Daemons nmbd einsetzt. Betroffen sind alle Versionen ab Samba 4 vom Dezember 2012, also 4.x.x.
Die aktuellen Samba-Versionen sind 4.1.11 und 4.0.21. Beide waren erst in den letzten Tagen veröffentlicht worden, um eine Reihe nicht sicherheitsrelevanter Fehler zu beheben. Auch für Samba 4.1.10 und 4.0.20 sind Fehlerkorrekturen verfügbar.
Samba ist eine quelloffene Implementierung des Netzwerk-Filesharing-Protokolls SMB/CIFS, das vor allem Microsofts Windows nutzt. Sambas Existenzberechtigung ist es vor allem, dass es Nicht-Windows-Systeme zu solchen Netzen kompatibel macht. Die Aufgabe speziell der Serverkomponente nmbd besteht darin, NetBIOS-Anfragen über IP-Netze zu beantworten und dabei NetBIOS-Namen mit IP-Adressen zu korrelieren.
Um die Schwachstelle zu nutzen, kann ein bösartiges System mit Zugriff aufs lokale Netz „Pakete senden, die den dynamischen Speicher des Daemaons nmbd des Ziels überschreiben. Es könnte möglich sein, dies zu nutzen, um als Superuser (Root) eine Schwachstelle für die Remote-Codeausführung zu generieren“, heißt es auf den Projektseiten.
Die Patches und neuen Versionen sind zwar bei Samba selbst verfügbar, ihre Verteilung über von vielen Anwendern genutzte Dienste könnte aber noch einige Zeit dauern. Beispielsweise enthält Ubuntu derzeit noch Samba 4.1.6 vom März 2014.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…