RUS-CERT-1086 – Archivierte Meldung

Meldung Nr: RUS-CERT-1086

[Generic/Samba] Kritische Schwachstelle in Samba
(2003-03-19 16:36:54.906999+00)

Quelle: http://www.samba.org/samba/whatsnew/samba-2.2.8.html

Eine Pufferüberlaufschwachstelle in der SMB/CIFS-Server-Software Samba, ermöglicht Angreifern über eine Netzwerkverbindung root-Privilegien auf dem beherbergenden Rechnersystem zu erlangen. Die neue Version 2.2.8 behebt diese Schwachstelle.

Betroffene Systeme

Systeme, die Samba 2.0.X bis inkl. 2.2.7a betreiben

Nicht betroffene Systeme

Systeme, die Samba 2.2.8 einsetzen
Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Einfallstor
Verbindung zum Samba-Server auf den Ports UDP/137, UDP/138, TCP/139, TCP/445

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des smbd, üblicherweise sind dies root-Privilegien
(remote root compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Samba implementiert das Server Message Block (SMB)-Protokoll, manchmal auch als Common Internet File System (CIFS), LanManager oder NetBIOS-Protokoll bezeichnet, auf UNIX-Systemen. SMB wird von Microsoft-Betriebssystemen für netzbasierte Dateisysteme und andere verteilte Anwendungen benutzt.

Beschreibung
Die Routinen zur Reassemblierung fragmentierter SMB/CIFS-Pakete besitzen eine Pufferüberlaufschwachstelle. Durch das Senden entsprechend formulierter Pakete an smbd kann diese dazu ausgenutzt werden, ohne Authentifizierung beliebigen Programmcode mit den Privilegien von smbd auf dem beherbergenden Rechnersystem auszuführen. Üblicherweise läuft smbd unter der UID=0 (root), was bedeutet, daß die Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems führt.

Workaround
Es gibt verschiedene Möglichkeiten, verwundbare Systeme vor Angriffen gegen diese Schwachstelle partiell zu schützen. Diese Maßnahhmen sollten kombiniert eingesetzt werden, um größtmöglichen Schutz zu erlangen.

Grundsätzlich sollte smbd nur von Sytemen und Netzen aus erreichbar sein, deren Zugriff intendiert ist. Für alle anderen Systeme und Netze sollte der Zugriff auf möglichst vielen Ebenen gesperrt sein, auch bei nicht verwundbaren Systemen.

Samba-spezifisches Zugriffsmanagement
Konfiguration von Samba solchermaßen, daß nur plausible, also intendierte Systeme zugreifen können. Dies kann z. B. bedeuten, daß man nicht über Wählverbindungen auf den Samba-Server zugreifen darf.
Schutz durch eine Firewall/einen Paketfilter
1. Hostbasiert
  Konfiguration eines rechnerbasierten Paketfilters, wie z. B. iptables solchermaßen, daß auf die Ports
  UDP/137
  UDP/138
  TCP/139
  TCP/445
  nur zugelassene Systeme, beispielsweise aus einem Subnetz oder einzelne IP-Adressen, zugreifen können.
2. Netzbasiert
  Konfiguration eines Gateways zu einem Subnetz solchermaßen, daß von außerhalb auf den darin befindlihen Samba-Server nur zugelassene Systeme und diese nur auf die Ports
  UDP/137
  UDP/138
  TCP/139
  TCP/445
  oder keine Systeme zugreifen können.

Achtung! Die vorgenannten Maßnahmen beseitigen nicht die Schwachstelle, sie schränken lediglich die Anzahl potenteller Angreifer ein. Die einzig wirksame temporäre Maßnahme, die eine Ausnutzung dieser Schwachstelle verhindert, ist die

Abschaltung des Samba-Servers

Gegenmaßnahmen

Upgrade auf Samba 2.2.8

Folgende Distributoren bieten bereits aktuelle Pakete bzw.Patches an:

Debian GNU/Linux DSA-262-1
Hewlett-Packard HPSBUX0303-251
Red-Hat RHSA-2003:095-01
SuSE SuSE-SA:2003:016

Vulnerability ID

CAN-2003-0085

Weitere Information zu diesem Thema

Samba Homepage
Unter der Vulnerability-ID CAN-2003-0086 befindet sich offenbar derzeit eine weitere Schwachstelle Sambas im Review-Prozess, die einen local root compromise durch eine Race Condition bei der Anwendung des chown-Kommandos ermöglicht. Information hierzu ist beim Samba-Projekt jedoch nicht zu finden.

(og)

Weitere Artikel zu diesem Thema:

[Generic/Samba] Weitere kritische Schwachstelle in Samba (2003-04-07)
Eine jüngst entdeckte Pufferüberlaufschwachstelle in der SMB/CIFS-Server-Software Samba, ermöglicht Angreifern über eine nicht authentifizierte Netzwerkverbindung root-Privilegien auf dem beherbergenden Rechnersystem zu erlangen. Diese Schwachstelle ist nicht identisch mit der am 2003-03-19 in der RUS-CERT-Meldung#1086 beschriebenen Schwachstelle.
[Generic/Samba] Schwachstelle in Samba 2.2.x (2002-11-22)
Die Samba-Version 2.2.7 behebt eine Schwachstelle in den Vorgängerversionen, die möglicherweise authentifizierten Angreifern root-Zugang auf einem Samba-Server ermöglicht.
[Generic/Samba] Fix für Problem mit temporären Dateien war nicht korrekt (2001-05-14)
Die Samba-Version 2.0.8 behebt nicht das gemeldete Sicherheitsproblem.
[Generic/Samba] Symlink-Angriff ermöglicht Datenmanipulation (2001-04-23)
Lokale Benutzer können auf samba-Servern Festplatteninhalte unkontrolliert manipulieren.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1086