Kritische Lücke in allen Samba-Servern
Die Server-Software mit der Unix-Systeme Windows-Dateifreigaben bereitstellen, enthält eine kritische Lücke, über die Angreifer die Server komplett kapern könnten. Zum Glück gibt es bereits Updates.
"Es ist die schwerst mögliche Lücke in einem Programm" – solch deutliche Worte liest man selten in der Fehlerbeschreibung eines Herstellers. Das Samba-Team nutzt sie bewusst, um alle Admins dazu zu bewegen, ihre Server mit den aktuellen Updates gegen mögliche Angriffe zu schützen.
Samba ist die Standard-Software, mit der Server, die nicht unter Windows laufen, Dateifreigaben für Windows-Rechner bereitstellen. Es kommt nicht nur auf Linux-Servern zum Einsatz, auch viele NAS-Systeme setzen auf Samba. Apple verzichtete für das aktuelle Mac OS X Lion zugunsten einer Eigenentwicklung auf die Open Source Software.
Der aktuelle Fehler ermöglicht es, betroffene Systeme übers Netz zu kapern; dazu ist nicht einmal eine Zugangskennung für den Server erforderlich. Derzeit ist zwar noch kein öffentlicher Exploit bekannt, der die Lücke konkret ausnutzt. Volker Lendecke, der als Mitglied des Samba-Teams den aktuellen Patch mitentwickelt hat, schätzt es gegenüber heise Security allerdings als nicht sonderlich schwierig ein, die existierenden Demos, die das System lediglich zum Absturz bringen, dementsprechend zu erweitern. So ist damit zu rechnen, dass sehr bald Angriffswerkzeuge auftauchen, mit denen sich die Lücke auch ausnutzen lässt, um in Server einzubrechen.
Der Fehler hat sich durch einen mangelhaften Code-Generator für sogenannte Remote Procedure Calls (RPC) eingeschlichen. Er ermöglicht es, durch einen speziellen RPC über die Grenzen eines Arrays im Speicher hinaus zu schreiben und somit eigenen Code einzuschleusen und auszuführen. Betroffen sind alle Samba-Versionen seit 3.0; die Versionen Samba 3.6.4, 3.5.14 und 3.4.16 beseitigen den Fehler. Wegen der Wichtigkeit des Updates stellen die Entwickler darüber hinaus sogar Patches für die nicht mehr unterstützten Versionen bereit.
Die wichtigen Distributoren wurden alle bereits vorab informiert, sodass von dort ebenfalls bald mit neuen Samba-Paketen zu rechnen ist. Einen Workaround, um sich auch ohne Patch zu schützen, gibt es nicht. Man kann für die Zeit bis zum Einspielen der aktualisierten Versionen lediglich das Risiko verringern, indem man durch eine Firewall oder den Parameter hosts allow die Zahl der Systeme einschränkt, die mit dem Server überhaupt sprechen können.
(ju)
