Hoch kritisch

Extrem gefährliche Sicherheitslücke in Samba

Als eine Art Super-GAU bezeichnen die Samba-Entwickler die gemeldete Schwachstelle: Code-Ausführung mit root-Rechten von einer anonymen Verbindung.

Der Alptraum eines jeden Administrators: Angreifer brauchen lediglich eine Verbindung zum Server und können dann beliebigen Code mit Administrator-Rechten ausführen. Betroffen sind Version 3.6.3 und alle früheren Ausgaben. Die Schwachstelle ist auch als CVE-2012-1182 gelistet.

Schuld ist der Code-Generator für Sambas Remote Procedure Call (RPC). Darin befindet sich ein Fehler, der eine Sicherheitslücke in generiertem Code auslöst. Dieser erzeugte Code ist Teil des Kontrollmechanismus für Marshalling und Unmarshalling in Samba.

Mit speziell manipulierten RPC-Anfragen könnte sich das Problem zum Ausführen beliebigen Codes ausnutzen lassen. Der Angreifer muss sich dabei nicht an Samba anmelden. Somit ist die Sicherheitslück als besonders kritisch einzustufen.

Die Entwickler haben Samba 3.6.3, 2.5.14 und 3.4.16 ausgegeben. Diese Versionen kümmern sich um die Schwachstelle. Für ältere Varianten gibt es Flicken unter samba.org/samba/patches/. Wegen der Schwere der Sicherheitslücke wurden für alle Samba-Versionen seit 3.0.37 Patches ausgegeben. Teilweise sind diese nicht einmal mehr offiziell unterstützt. Die Patches der 3.6-Serie wurden auch auf Samba4 Alpha 18 übertragen.

Als Workaround könnten Administratoren mittels des "hosts allow"-Parameters in der Konfigurations-Datei smb.conf die Zugriffe der Clients einschränken. Es ist zu erwarten, dass die Linux-Distributoren schnell mit dem Ausrollen einer bereinigten Samba-Version anfangen.

Superb Mini Server 1.6.5

Die frisch veröffentlichte Version des Superb Mini Server enthält ebenfalls eine anfällige Version von Samba. In SMS 1.6.4 wurde die Software auf Version 3.6.3 aktualisiert, die wie oben erwähnt anfällig ist.

Ansonsten bringt der Mini-Server Linux-Kernel 3.2.14, glibc 2.15 und GCC 4.7.0 mit sich. Anderen Server-Diensten wurden ebenfalls Aktualisierungen spendiert. Es befinden sich zum beispiel Postfix 2.9.1, BIND 9.9.0, Dovecot 2.1.4, ClamAV 0.97.4, MySQL 5.1.62, OpenLDAP 2.4.30 und OpenSSL 0.9.8u an Bord.

Aus Kompatibilitätsgründen wurden Apache 2.4 und PHP 5.4.0 nicht mit ausgeliefert. Die Entwickler sind der Meinung, dass die Vorgängerversionen weniger Probleme für die meisten Web-Applikationen bereiten.

Weil GCC nun mehr Platz braucht und die Entwickler die CD nicht sprengen wollten, wurden die layer7-gepatchten Kernel unter extra/layer7 abgelegt. Diese sind nicht längern per Standard enthalten. Wer die Pakete haben möchte, braucht die CD SMS.Native.CD-Extra.iso. Alternativ können Administratoren slapt-get verwenden.

Weiterhin lässt sich der SMS Native Installer nun von einem FAT32-USB-Stick starten. Sie können alle Dateien einfach auf ein USB-Gerät kopieren und dann die verfügbaren usbboot-Scripte aufrufen.

Sie finden weitere Informationen in der offiziellen Ankündigung und dem SMS Wiki. Hilfe gibt es im Forum des Projekts. Superb Mini Server 1.6.5 ist für die Architekturen x86 und x86_64 verfügbar. (jdo)