Im freien Programmpaket Samba führen vier Sicherheitslücken zu einer Gefährdung von Systemen. Abgesicherte Versionen, welche die mit dem Angriffsrisiko "hoch" eingestuften Sicherheitslücken schließen, sind nun verfügbar.

Windows Funktionen wie die Dateifreigabe für andere Betriebssysteme werden von Samba bereitgestellt. Weiterhin kann Samba auch als Domain Controller fungieren. So kann es bei der Nutzung von Samba als Active Directory Domain Controller zu Fehlern bei der Verarbeitung von DNS-Paketen kommen. Angreifer können diese Umstände nutzen und mit gezielten DNS Antworten eine extrem hohe CPU-Last auslösen. Die verantwortliche Lücke (CVE-2020-10745) betrifft Samba ab Version 4.

Eine weitere Schwachstelle (CVE-2020-14303) kann unter gleichen Voraussetzungen sowie das Versenden von leeren UDP-Paketen dazu führen, dass weitere Anfragen nicht bearbeitet werden.

Angriffe auf weitere Lücken (CVE-2020-10730, CVE-2020-10760) können schließlich zu Speicherfehlern führen. Die Samba-Versionen 4.10.17, 4.11.11 und 4.12.4 sind abgesichert.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE