Eine jüngst entdeckte Pufferüberlaufschwachstelle in der SMB/CIFS-Server-Software Samba, ermöglicht Angreifern über eine nicht authentifizierte Netzwerkverbindung root-Privilegien auf dem beherbergenden Rechnersystem zu erlangen. Diese Schwachstelle ist nicht identisch mit der am 2003-03-19 in der RUS-CERT-Meldung#1086 beschriebenen Schwachstelle.

Betroffene Systeme

• Systeme, die Samba 2.2.8 und früher betreiben, also derzeit praktisch alle in Betrieb befindlichen Standard-Samba-Server
• Systeme, die Samba 2.0.10 und früher betreiben
• Systeme, die Samba-TNG der Versionen vor 0.3.2 betreiben

Nicht betroffene Systeme

• Systeme, die Samba 2.2.8a, Samba-TNG version 0.3.2 sowie Samba 3.0 Alpha und später betreiben
• Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Einfallstor
Verbindung zum Samba-Server auf Port 139/TCP und/oder 445/TCP

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des Samba-Servers, üblicherweise sind dies root-Privilegien
(remote root compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Samba implementiert das Server Message Block (SMB)-Protokoll, manchmal auch als Common Internet File System (CIFS), LanManager oder NetBIOS-Protokoll bezeichnet, auf UNIX-Systemen. SMB wird von Microsoft-Betriebssystemen für netzbasierte Dateisysteme und andere verteilte Anwendungen benutzt.

Beschreibung
Eine Pufferüberlaufschwachstelle in den Sambaversionen bis inkl. 2.2.8, 2.0.10 und früher sowie Samba-TNG vor 0.3.2 ermöglicht einem Angreifer über eine Netzwerkverbindung auf Port 139/TCP beliebigen Programmcode mit den Privilegien des Samba-Servers auszuführen. Üblicherweise läuft der Samba-Server unter der UID=0 (root), so daß eine erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems führt.

Achtung! Diese Schwachstelle ist nicht identisch mit der am 2003-03-19 in der RUS-CERT-Meldung#1086 ([Generic/Samba] Kritische Schwachstelle in Samba) beschriebenen Schwachstelle. Die zur Behebung dieser Schwachstelle angewandten Gegenmaßnahmen beheben das in dieser Meldung beschriebene Problem nicht!

Gegenmaßnahmen

• Installation eines Patches für:
  • Samba 2.0.10 und 2.2.7
  • 2.2.8
• Update auf Samba 2.2.8a

Exploitcode
Exploitcode wurde veröffentlicht und es liegen bereits Berichte über erfolgreiche Angriffe, diese Schwachstelle ausnutzend, vor.

Vulnerability ID

• CAN-2003-0201 (Wurde laut www.samba.org reserviert).

Hinweis
Ob der zahlreichen Schwachstellen und des prizipiell unsichern Designs von SMB, ist von einem Einsatz eines Samba-Servers im Internet und damit auch im Campus-Netz abzuraten.

Weitere Information zu diesem Thema

• Samba Homepage

Weitere Artikel zu diesem Thema:

• [Generic/Samba] Kritische Schwachstelle in Samba (2003-03-19)
  Eine Pufferüberlaufschwachstelle in der SMB/CIFS-Server-Software Samba, ermöglicht Angreifern über eine Netzwerkverbindung root-Privilegien auf dem beherbergenden Rechnersystem zu erlangen. Die neue Version 2.2.8 behebt diese Schwachstelle.
• [Generic/Samba] Fix für Problem mit temporären Dateien war nicht korrekt (2001-05-14)
  Die Samba-Version 2.0.8 behebt nicht das gemeldete Sicherheitsproblem.
• [Generic/Samba] Symlink-Angriff ermöglicht Datenmanipulation (2001-04-23)
  Lokale Benutzer können auf samba-Servern Festplatteninhalte unkontrolliert manipulieren.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/