Eine kritische Lücke des Programmpakets Samba wurde von den Entwicklern geschlossen. Die Lücke CVE-2019-10197 erlaubte es Angreifern unter Umständen unbefugte Verzeichniszugriffe zu erlangen.

Betroffen sind alle Samba-Versionen nach einschließlich 4.9.0. Die Lücke entstehe durch eine Kombination von Konfigurationsparametern: "The problem is reproducable if the 'wide links' option is explicitly set to 'yes' and either 'unix extensions = no' or 'allow insecure wide links = yes' is set in addition." (samba.org). Dadurch sei ein Ausbruch bis ins Root-Verzeichnis des Systems möglich.

Ein neuer Patch und die Security-Releases 4.9.13, 4.10.8 und 4.11.0rc3 sollen das Problem beheben; ein zeitnahes Update ist wegen der Einstufung der Lücke als "kritisch" ratsam.

(tl, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE