Aktualisierte Samba-Pakete, die Dienste wie Windows-Datei- und -Druckerfreigaben für andere Betriebssysteme bereitstellen, mit Versionsstand 4.15.2, 4.14.10 sowie 4.13.14 stehen bereit, um mehrere Sicherheitslücken mit teilweise hohem Risiko zu schließen. Mehrere davon betreffen insbesondere den Betrieb von Samba als Active Directory-Domaincontroller.
Der schwerwiegendste Fehler konnte in den Vorgängerversionen ab 4.0 dazu führen, dass offenbar aufgrund weiterer Fehler in Samba jeder Nutzer das vom Samba als Domaincontroller bereitgestellte AD kompromittieren konnte (
Weitere Sicherheitslücken erlaubten ebenfalls eine Rechteausweitung durch einen Use-after-Free-Fehler bei der Verarbeitung von DCE/RPC-Paketen (Distributed Computing Environment / Remote Procedure Calls) ab Samba 4.0 (
Zum anderen haben die Samba-Entwickler ein Feature in Form einer Datenstruktur hinzugefügt, mit dem Anwendungen, die auf Samba zum Entschlüsseln von PAC-Informationen in Kerberos zugreifen, stabil die Berechtigungen auslesen können (
Administratoren von Samba-Installationen sollten zügig die bereitgestellten aktualisierten Pakete einspielen.
Quelle: heise
Der schwerwiegendste Fehler konnte in den Vorgängerversionen ab 4.0 dazu führen, dass offenbar aufgrund weiterer Fehler in Samba jeder Nutzer das vom Samba als Domaincontroller bereitgestellte AD kompromittieren konnte (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, CVSS 8.8). Eine andere Schwachstelle in Samba 3.0 und aufwärts erlaubte Nutzern unter Umständen die Rechteausweitung, wenn Samba als AD-Mitglied Kerberos akzeptiert (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, CVSS 8.1).Weitere Sicherheitslücken erlaubten ebenfalls eine Rechteausweitung durch einen Use-after-Free-Fehler bei der Verarbeitung von DCE/RPC-Paketen (Distributed Computing Environment / Remote Procedure Calls) ab Samba 4.0 (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, CVSS 7.6). Wenn ein Read-Only Domaincontroller in ein AD mit Samba als Domaincontroller hinzugefügt wurde, fand eine Rechteprüfung nicht statt, sodass Unbefugte Administrator-Tickets drucken konnten (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, CVSS 7.5.) Durch fehlerhafte Verarbeitung von Berechtigungsinformationen in Kerberos-Paketen (SID und PAC) konnte ein AD kompromittiert werden (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, CVSS 7.2). In Umgebungen, in denen Samba 4.10.0 aufwärts läuft, konnten Angreifer bei großen, fragmentierten DCE/RPC-Paketen eigene (manipulierte) Fragmente unterschieben und so das Serververhalten verändern (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, CVSS 4.8)Unbekannter Schweregrad
Zwei Schwachstellen haben keine konkrete Einordnung bezüglich ihres Schweregrades gemäßDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
erhalten. Zum einen wäre da ein potenzieller Client-Dumb-Down-Angriff bei Verbindungen mit SMBv1 in Samba 3.0 bis 4.15.1, wodurch Verbindungen auf unverschlüsselte Kommunikation, im Klartext, herabgestuft werden konnten (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
). Da seit Windows 10 das alte Protokoll jedoch erst manuell nachinstalliert und aktiviert werden muss und das Betriebssystem auf immer mehr Clients zu finden ist, dürfte sich der potenzielle Schaden in Grenzen halten.Zum anderen haben die Samba-Entwickler ein Feature in Form einer Datenstruktur hinzugefügt, mit dem Anwendungen, die auf Samba zum Entschlüsseln von PAC-Informationen in Kerberos zugreifen, stabil die Berechtigungen auslesen können (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
). Das war zuvor nicht verlässlich und in der zweiten Lücke oben (CVE-2020-25717) ursächlich für das entstandene Problem.Administratoren von Samba-Installationen sollten zügig die bereitgestellten aktualisierten Pakete einspielen.
Quelle: heise
