Samba: Patch verhindert Ausbruch aus freigegebenen Ordnern

  • Allgemein

  • mad.de
  • 90 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Samba: Patch verhindert Ausbruch aus freigegebenen Ordnern

    Die Entwickler des freien Programmpakets Samba haben eine kritische Lücke geschlossen, die Angreifern unter Umständen unbefugte Verzeichniszugriffe erlaubte.
    Das Samba-Team hat eine Sicherheitslücke geschlossen, die Clients unter bestimmten Voraussetzungen den Zugriff auf für sie nicht freigegebene Ordner ermöglichte. Abgesicherte Samba-Versionen sowie Packages für einige Linux-Distributionen stehen bereit. Ein zeitnahes Update ist angesichts der Einstufung der Lücke als "kritisch" durch die Samba-Entwickler (CVSS-v3-Score 8.7) ratsam.

    Laut einem auf samba.org veröffentlichten Sicherheitshinweis betrifft die Lücke alle Samba-Versionen ab einschließlich 4.9.0 aufwärts. Sie erlaube den Ausbruch aus dem für einen Nutzer freigegebenen Verzeichnis bis ins Root-Verzeichnis des Systems ("/").

    Voraussetzung für einen Angriff seien allerdings bestimmte Konfigurationsparameter in smb.conf : "The problem is reproducable if the 'wide links' option is explicitly set to 'yes' and either 'unix extensions = no' or 'allow insecure wide links = yes' is set in addition."

    Patch und Packages
    Das Samba-Team hat einen Patch und die Security-Releases 4.9.13, 4.10.8 und 4.11.0rc3 veröffentlicht. Entsprechende Download-Links sowie mehrere Workarounds sind dem Sicherheitshinweis zu entnehmen.

    Informationen und/oder neue Samba-Packages gibt es bislang unter anderem von Debian, RHEL und Ubuntu. Nutzer anderer Distributionen sollten nach Sicherheitshinweisen zu CVE-2019-10197 Ausschau halten.

    Quelle: Samba: Patch verhindert Ausbruch aus freigegebenen Ordnern | heise online