Samba-Entwickler schließen kritische Lücke -- ohne darauf hinzuweisen [Update]

In der kürzlich aktualisierten Version 3.0.8 des freien SMB/CIFS-Servers Samba wurde nicht nur die öffentlich bekannt gewordene DoS-Schwachstelle behoben. Wie der durch zahlreiche Veröffentlichungen bekannte Sicherheitsspezialist Stefan Esser erst jetzt in einem Security Advisory bekannt gab, wurde auch eine kritische Sicherheitslücke gestopft, über die Angreifer Code in den Server schleusen und in dessen Kontext ausführen können. Nach eigenen Angaben habe er die Entwickler Ende September über den Fehler informiert und auch auf seine Ausnutzbarkeit hingewiesen, allerdings habe er versäumt, einen Exploit zur Demonstration mitzuschicken. Die Entwickler waren offenbar von der Tragweite der Lücke nicht gänzlich überzeugt und beseitigten den Fehler, ohne ihn aber in ihrem Advisory zu erwähnen.

Esser sieht sich deshalb veranlasst, nun selbst öffentlich auf den Fehler hinzuweisen. Den Exploit habe er dem Samba-Team mittlerweile auch zukommen lassen. Die Sicherheitslücke beruht auf einem Buffer Overflow beim Zusammensetzen einer Antwort auf eine präparierte TRANSACT2_QFILEPATHINFO-Anfrage eines Clients. Laut Advisory kann jeder gültige Samba-Nutzer mit Leserechten die Lücke ausnutzen, wenn ein bestimmter Pfadname vorhanden ist. Andernfalls benötigt man Schreibrechte auf ein Share.

Update
Das Samba-Team hat ein eigenes Advisory zu dem Fehler veröffentlicht. Auch der Linux-Distributor Suse hat seine Advisories aktualisiert. Johannes Loxen von SerNet, einem dem Samba-Team nahestehenden Unternehmen, bestätigt den von Esser geschilderten Ablauf. Allerdings hätte Jeremy Allison vom Samba-Team den Fehler als Crash-Bug eingeordnet und beseitigt, da er keine Hinweise auf die Ausnutzbarkeit hatte und Esser den erbetenen Exploit nicht geschickt hatte.

Siehe dazu auch: (dab)

• Security Advisory von Stefan Esser