Samba: Neue Versionen beheben mehrere Sicherheitslücken

Das Samba-Entwicklerteam meldet fünf Sicherheitslücken in der freien Implementierung des SMB-Protokolls. Unter bestimmten Bedingungen können Angreifer Dienste stören, auf beliebige Unix-Sockets des Zielsystems zugreifen oder gar das geheime KRBTGT-Passwort stehlen. Die Löcher klaffen teilweise seit über 10 Jahren in Samba. Admins sollten nun nicht länger mit Updates warten.

Goldenes Ticket für Samba-Angreifer

Der gefährlichste Bug (CVE-2023-4154, CVSS 7.2/10, Risiko "hoch") verbirgt sich in der DirSync-Funktion in allen Samba-Versionen ab 4.0.0. Bestimmte Nutzerkonten in einer Active-Directory-Domäne konnten ungehindert auf alle geheimen Authentifizierungsinformationen der Domäne zugreifen – inklusive des Passworts für das "Ticket Granting Ticket", den heiligen Gral des Kerberos-Sicherheitskonzepts. Das TGT abzugreifen, ist auch Ziel der bekannten PetitPotam-Attacke. Diese wird im aktuellen iX-Sonderheft "Sicheres Active Directory" ab Seite 72 ausführlich beschrieben.

Durch eine unsaubere Eingabeprüfung bei der Behandlung von Unix-Sockets können manipulierte Samba-Clients auf beliebige Socketdateien des Zielservers zugreifen. Da dieser Zugriff mit den Rechten des administrativen Nutzers "root" geschieht, können Angreifer ihre Rechte ausweiten und andere Dienste beeinflussen. Speziell auf kompakten NAS-Systemen, die neben Datei- oder Backupdiensten auch Datenbanken und Multimedia-Server beherbergen, drohen durch CVE-2023-3961 (CVSS: 6.8/10, mittel) weitere Sicherheitsprobleme.

Unter bestimmten Bedingungen konnten Samba-Clients zudem Dateien zerstören, auf die sie eigentlich nur Lesezugriff haben. Das geschieht, wenn der SMB-Dienst so konfiguriert ist, dass er die betriebssystemeigenen Dateiberechtigungen ignoriert und seine eigenen ACLs verwendet. Ein böswilliger Client könnte so Dateien zerstören, indem er ihre Dateigröße auf 0 Byte setzt (truncate). Die inkriminierte Konfigurationseinstellung "acl_xattr:ignore system acls" ist jedoch im Auslieferungszustand nicht aktiv, so dass nur wenige Samba-Installationen von CVE-2023-4091 (CVSS: 6.5/10) betroffen sein dürften.

Denial of Service gegen Domain Controller

Zwei weitere Lücken (CVE-2023-42669 und CVE-2023-42670, beide CVSS 6.5/10, mittel) können Angreifer, die sich im selben Netzwerk wie Samba-Server und Active Directory Domain Controller befinden, für Denial-of-Service-Angriffe (DoS) gegen letzteren nutzen. Dazu können sie sich den "rpcecho"-Dienst zunutze machen, der zu Testzwecken allen Samba-Versionen seit 4.0.0 beiliegt, oder den Samba-Server dazu bringen, zu viele Verbindungen zum DC zu öffnen.

Die Samba-Entwickler haben die Sicherheitsprobleme mittlerweile behoben und aktualisierte Versionen mit den Versionsnummern 4.19.1, 4.18.8 und 4.17.12 bereitgestellt. Da die Fehler teilweise seit über zehn Jahren im Samba-Code versteckt sind – ein Bug betrifft gar alle je veröffentlichten Versionen – sollte jeder SMB-Admin zügig updaten. Auch Debian und Ubuntu haben Flicken bereitgestellt:

• Debian Bookworm: 4.17.12+dfsg-0+deb12u1
• Debian Bullseye: 4.13.13+dfsg-1~deb11u5
• Ubuntu 22.04 "jammy": 4.15.13+dfsg-0ubuntu1.5
• Ubuntu 20.04 "focal": 4.15.13+dfsg-0ubuntu0.20.04.6

(cku)