Software::Netzwerk
Samba schließt kritische Sicherheitslücke
Nachdem das Samba-Team bereits vor drei Wochen eine Warnung vor einer kritischen Sicherheitslücke in der eigenen Software, aber auch in Windows, veröffentlichte, stehen nun auch Patches bereit, die das Problem korrigieren.
badlock.org
Vor drei Wochen hatten SerNet, das Samba-Team und Microsoft
vor einer schweren Sicherheitslücke gewarnt, die nahezu alle Versionen von Microsoft Windows und Samba betrifft. Der auf den Namen »
Badlock« getaufte Fehler sollte kritisch sein und sowohl Samba als auch Windows betreffen. »Aufgrund der grundlegenden Funktionen, die von Badlock betroffen sind, werden keine Details veröffentlicht, bis Microsoft und das Samba-Team die Sicherheits-Updates zur Verfügung stellen«, so die Samba-Entwickler in der damaligen Ankündigung.
Nun haben alle Parteien am gestrigen Dienstag Patches für ihre Software veröffentlicht – Microsoft im Zuge eines »Patch-Days« und Samba als reguläre Software-Veröffentlichung. Unter Linux korrigieren die Entwickler neben »Badlock« auch diverse andere Probleme. So haben die Samba-Entwickler gleich acht CVEs veröffentlicht, die die aktuelle Version betreffen. Das Spektrum reicht von einer »Man in the Middle«-Attacke (MITM) bis hin zu »Denial of Service« (DoS). Administratoren sollten deshalb ihre Systeme schnellstens einem Update unterziehen. Betroffen von den Problemen sind mindestens die Versionen 3.6.x, 4.0.x, 4.1.x, 4.2.0-4.2.9, 4.3.0-4.3.6 und 4.4.0. Frühere Versionen wurden nicht untersucht.
Die Badlock-Lücke (CVE-2016-2118) findet sich in der Implementierung für Remote Procedure Calls (RPCs). Stefan Metzmacher, ein Mitglied des Samba-Teams, hatte entdeckt, dass sowohl Samba als auch Windows-Server ungesicherte Verbindungen akzeptieren und es Angreifern ermöglichen, über RPC an die Administratordaten zu kommen. Um solche Risiken zu minimieren, empfiehlt das Samba-Team deshalb, neben dem Einspielen der Korrekturen auch Zugriffe auf privilegierte Accounts über ungesicherte Netze zu unterbinden. Laut Samba sollten Zugriffe auf wichtige Konten nur auf der physikalischen Konsole erlaubt werden, sodass keine Kommunikation über das Netzwerk stattfindet.
){kind=small}
