Samba-Team schließt Lücken

Im Server-Projekt Samba sind jetzt drei Sicherheitslücken aufgetaucht, durch die der beliebte freie File-, Druck- und Anmeldeserver lahm gelegt werden kann. Wie die Entwickler bestätigen, geschieht dies zum einen durch eine Endlosschleife, die durch einen Fehler in der Programmlogik des Serverdienstes smbd entsteht.
Durch zwei weitere Lücken können zudem schädliche Codeschnipsel eingeschleust und auch ausgeführt werden. Allerdings müssen hierfür gewisse Voraussetzungen geschaffen sein.

So kann auf speziell konfigurierten Solaris-Systemen, die winbindd nutzen, eine Namensauflösung einen Pufferüberlauf verursachen.
Bei Dateisystemen mit AFS, kann das eventuell genutzte ACL-Plugin afsacl.so insofern missbraucht werden, dass bei einem Aufruf von snprintf() dieser direkt als Format-String verwendet wird.

Das Samba-Team hat mit der Version 3.0.24 Abhilfe geschaffen und alle drei Lücken geschlossen. Die ersten Distributoren stellen bereits aktualisierte Pakete zum Download bereit.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben