Neue Samba-Versionen schließen Sicherheitslücken

Die neuesten Samba-Ausgabe 3.0.37, 3.2.15 und 3.4.2 schließen drei Sicherheitslücken. Angreifern war unter Umständen der unberechtigte Zugriff auf Daten möglich. Außerdem ließ sich der Samba-Dienst stoppen. Ein Client konnte eine „Oplock break notification“ senden und den Samba-Dienst in eine Endlos-Schleife schicken. Dieser Umstand hätte zu einer Deaktivierung des Samba-Servers geführt. Laut Entwicklern musste sich ein Angreifer allerdings via Samba anmelden.

Wenn das Home-Verzeichnis eines Anwenders in der Datei /etc/passwd leer war, konnte der Nutzern aus dem vordefinierten Wurzel-Verzeichnis ausbrechen. Somit hätte man unter Umständen auf beliebige Dateien des Servers zugreifen können. Ein weiterer Fehler befand sich bei der Rechte-Überprüfung in der Applikation mount.cifs. Sensible Daten haben sich unter Umständen einsehen lassen. Die neuesten Versionen finden Sie auf Samba.org. (jdo)