Samba kann seit der Version 4.0 als Domain-Controller für ein Active Directory dienen, sprich ein zentrales Benutzerverzeichnis zur Anmeldung an Netzwerkressourcen bereitstellen. Nun hat es sich herrausgestellt, dass Samba in dieser Betriebsart beim Überprüfen der Rechte für Passwortänderungen schlampt. Dies haben Mitarbeiter der Göttinger Sernet GmbH entdeckt.

Dieses Problem wurde in den neu veröffentlichten Samba-Versionen 4.7.6, 4.6.14 und 4.5.16 behoben. Für ältere Versionen gibt es eine Übersichtsseite für Patches. Betroffen sollen alle Samba 4 Versionen ab 4.0.0.

Das Problem liegt darin, dass die Lücke nicht nur Änderungen von Nutzerpasswörtern erlaubt, sondern auch von Dienst-Konten, wie sie zum Beispiel für Domain-Controller im Active Directory verwendet werden. Im Samba-Wiki werden umfangreiche Hinweise zum Fehler erläutert, wie eventuelle Manipulationen an Zeitstempeln erkannt werden können. Wenn es der Fall ist, dann muss der Betreiber eines Samba-4-DCs davon ausgehen, dass sämtliche Domain-Secrets bereits ausgelesen worden sind. Im Wiki werden Techniken beschrieben, um bis zum Einspielen aktueller Versionen Passwortänderungen zu vermeiden.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE