zurück zum Artikel

Samba-Team patcht Schwachstelle im Softwarepaket

Olivia von Westernhagen
Samba-Logo

(Bild: geralt)

Security-Releases und Patches beheben ein Sicherheitsproblem in Zusammenhang mit der Kerberos-Erweiterung S4U2Self nebst S4U2Proxy.

Das Entwicklerteam des freien Softwarepakets Samba hat Security-Releases und Patches veröffentlicht, die eine Schwachstelle im Authentifizierungsdienst (Heimdal) Kerberos beseitigen sollen.

Das Samba-Team stuft die Bedrohung in einem Security Advisory als "hoch" ein [1] und rät Admins, zeitnah zu patchen oder auf eines der abgesicherten Releases umzusteigen. Auch das BSI hat einen Warnhinweis veröffentlicht [2].

Die Schwachstelle trägt die Kennung CVE-2018-16860 und besteht in einer unvollständigen Checksummen-Validierung durch die Kerberos-Extension S4U2Self im Zusammenspiel mit ihrer Komponente S4U2Proxy. Ein einfach authentifizierter Angreifer könnte diesen Fehler via Man-in-the-Middle-Attacke ausnutzen, seine Rechte zu erweitern.

Neue Releases, Patches und Packages verfügbar

Verwundbar sind laut Samba-Team alle Versionen seit 4.0. Die abgesicherten Samba-Releases tragen die Versionsnummern 4.8.12, 4.9.8 and 4.10.3. Zusätzlich stehen Patches gegen CVE-2018-16860 für Samba, 4.8.11, 4.9.7 und 4.10.2 [3] bereit.

Dem Hinweis ist zusätzlich auch zu entnehmen, dass alle Heimdal-Releases seit 0.8 bis einschließlich 7.5.0 die Schwachstelle aufweisen – und damit wohl auch alle Produkte, in denen von diesen Releases abgeleitete Key Distribution Centers (KDC) [4] zum Einsatz kommen.

Linux-Nutzer sollten Ausschau nach aktualisierten Samba-Packages halten. Weiterführende Informationen dazu gibt es bisher beispielsweise von Debian, [5] Red Hat [6] und Ubuntu [7]. (ovw [8])

URL dieses Artikels:
https://www.heise.de/-4422709

Links in diesem Artikel:
[1] https://www.samba.org/samba/security/CVE-2018-16860.html
[2] https://www.cert-bund.de/advisoryshort/CB-K19-0396
[3] https://www.samba.org/samba/history/security.html
[4] https://de.wikipedia.org/wiki/Key_Distribution_Center
[5] https://lists.debian.org/debian-security-announce/2019/msg00088.html
[6] https://access.redhat.com/security/cve/cve-2018-16860
[7] https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-16860.html
[8] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2019 Heise Medien