Erneute Sicherheitslücke in Samba

Mitte März erst mussten die Samba-Entwickler mit Version 2.2.8 des freien Windows-Servers Samba eine weitere Sicherheitslücke stopfen. Nun wurde erneut ein Buffer Overflow in der Software entdeckt, die einen Unix-Rechner als Datei- und Druckserver für Windows-Clients agieren lässt. Das neue Sicherheitsleck kann ein Angreifer ausnutzen, um Root-Rechte auf der Maschine zu erlangen, auf der der Samba-Server läuft. Details zu der Sicherheitslücke veröffentlichten die Entdecker von Digital Defense in einem Advisory auf der Sicherheits-Mailinglist Bugtraq.

Laut Digital Defense und nach Angaben der Samba-Entwickler sind alle momentan verfügbaren, für Produktionsserver freigegebenen Versionen von Samba bis einschließlich 2.2.8 von dem Leck betroffen. Die Vorabversionen der 3.0-Linie des Servers enthalten den Bug dagegen nicht.

Die Samba-Entwickler haben bereits die Release 2.2.8a freigegeben -- sie enthält bis auf den Fix für das Sicherheitsleck keine weiteren Bugfixes oder neuen Features. Samba 2.2.8a ist über die FTP-Server des Projekts zu bekommen. Patches für die Releases 2.0.19 und 2.2.7 sind ebenfalls verfügbar. Zudem existieren für diverse Linux-Distributionen, darunter beispielsweise Mandrake, Debian oder SuSE, bereits aktualisierte Samba-Pakete. Die Samba-Entwickler raten dringend dazu, die Server schnell mit den neuen Software-Versionen zu aktualisieren, da bereits Exploits existieren, die das Leck ausnutzen. (jk)