Abo
  • Services:

Active Directory: Samba-Nutzer können Admin-Passwort ändern

Wird der freie Serverdienst Samba als Domain-Controller für Active Directory genutzt, kann dieser von seinen eigenen Nutzern übernommen werden. Auf diese Lücke weist das Samba-Team hin und stellt Patches bereit. Eine DDOS-Lücke wird ebenfalls behoben.

Artikel veröffentlicht am , Ulrich Bantle/Linux Magazin/
Bei Samba kann man ohne Updates auch andere Passwörter eingeben und nutzen.
Bei Samba kann man ohne Updates auch andere Passwörter eingeben und nutzen. (Bild: Marc Falardeau, flickr.com/CC-BY 2.0)

Mit den aktuellen Samba-Versionen 4.7.6, 4.6.14 und 4.5.16 werden zwei Sicherheitslücken beseitigt, die von den Entwicklern des freien Serverdienstes als besonders kritisch bewertet werden. So ermöglicht es der Serverdienst unter Umständen, dass authentifizierte Nutzer das Passwort anderer Nutzer ändern können. Das Passwort des Administrators zählt hier explizit dazu. Nutzer könnten also relativ leicht die Serverinstanz übernehmen, Angreifer, die an Logindaten der Nutzer kommen, natürlich auch.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. SOS-Kinderdorf München, München

Diese Lücke hat die CVE-Nummer CVE-2018-1057 bekommen und hängt mit einem Fehler des LDAP-Servers ab Samba 4 zusammen, also mit dem Verzeichnisdienst, über den etwa Anmeldedaten verwaltet werden können. Diese von Samba-Sponsor Sernet gefundene Lücke tritt wohl aber nur dann auf, wenn Samba als Domain Controller für ein Active Directory eingesetzt wird. Letzteres ist eben ab Version 4.0 möglich.

DDOS auf Druckserver

Eine zweite Sicherheitslücke mit der CVE-Nummer CVE-2018-1050, die das Samba-Team ebenfalls behoben hat, ermöglicht eine Denial-of-Service-Attacke auf externe Printserver, heißt es in der Beschreibung. Hiervon seien ebenso alle Samba-Versionen ab 4.0 betroffen. Voraussetzung für die Ausnutzung dieser Lücke sei, dass der RPC-Spoolss-Service als externer Daemon konfiguriert ist.

Die neuen Versionen, die die Lücken schließen, gibt es auf der Webseite des Samba-Projekts zum Download. Linux-Distributionen sollten entsprechende Pakete als Update anbieten. Im Projektwiki stellt das Team außerdem Details und Informationen für Admins samt Workarounds zu CVE-2018-1057 bereit.



Anzeige
Blu-ray-Angebote
  1. (u. a. Spider-Man 1-3 für 8,49€, X-Men 1-6 für 23,83€ und Batman 1-4 für 14,97€)
  2. 9,99€

Suchiman 13. Mär 2018

Eine Denial-Of-Service Lücke hat nichts zu tun mit einer Distributed-Denial-Of-Service...


Folgen Sie uns
       


LG G7 Thinq - Test

Das G7 Thinq ist LGs zweites Smartphone unter der Thinq-Dachmarke. Das Gerät hat eine Kamera, die mit Hilfe künstlicher Intelligenz Bildinhalte analysiert und anhand der Analyseergebnisse die Bildeinstellungen verändert. Mit äußerster Vorsicht sollten Nutzer die Gesichtsentsperrung verwenden, da sie sich in der Standardeinstellung spielend leicht austricksen lässt.

LG G7 Thinq - Test Video aufrufen
Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Dying Light 2 Stadtentwicklung mit Schwung
  2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
  3. Control Remedy Entertainment mit übersinnlichen Räumen

Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Ingolstadt Flugtaxis sollen in Deutschland erprobt werden
  2. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  3. Cityairbus Mit Siemens soll das Lufttaxi abheben

In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
In eigener Sache
Freie Schreiber/-innen für Jobthemen gesucht

IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

  1. Leserumfrage Wie sollen wir Golem.de erweitern?
  2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
  3. Leserumfrage Wie gefällt Ihnen Golem.de?

    •  /