![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Im freien Samba-Paket gibt eine 'use-after-free' Sicherheitsl\u00fccke, die in allen Versionen seit Samba 4.0 (2012 erschienen) existiert. Eine zweite 'heap memory information leak'-L\u00fccke bezieht sich sogar auf Samba ab Version 3.6.0. Gro\u00dfe Linux-Distributionen stellen Updates bereit. Wer kein automatisches Update erh\u00e4lt, muss selbst aktiv werden. Hier einige Informationen.<\/p>\n
<\/p>\n
Seit Samba 4.0 gibt es zwei Sicherheitsl\u00fccken, die in CVE-2017-15275<\/a> und <\/p>\n In den Samba Security Releases<\/a> finden sich mit Datum 21. November 2017 Ank\u00fcndigungen, dass die Sicherheitsl\u00fccken CVE-2017-14746<\/a> und CVE-2017-15275<\/a> beschrieben sind. <\/p>\n Die Bug erm\u00f6glichen, dass eine b\u00f6swillige SMB1-Anfrage dem Angreifer die Kontrolle \u00fcber \"den Inhalt des Heap-Speichers \u00fcber einen deallokierten Heap-Pointer\" geben kann. Dies erm\u00f6glicht einem Angreifer, Informationen vom Heap (Passwort-Hashes oder andere hochwertige Daten) abzurufen. Dies kann m\u00f6glicherweise dazu benutzt werden, den SMB-Server zu kompromittieren. <\/p>\n The Register weist in diesem Artikel<\/a> darauf hin, das gro\u00dfe Linux-Distributionen (Red Hat, Ubuntu, Debian und so weiter) Fehlerbehebungen f\u00fcr den \"use-after-free\"-Fehler bereitstellen, der alle Versionen von SAMBA seit 4.0 (ver\u00f6ffentlicht 2012) betrifft. Wer keine automatischen Updates \u00fcber eine der obigen Distributionen erh\u00e4lt, sollte sich mit dem Thema auseinander setzen und schauen, ob die Maintainer der Distribution entsprechende Updates anbieten. Die vom Samba-Projekt bereitgestellten Patches<\/a> beziehen sich nur auf den Sourcecode der Pakete. Hier die betreffenden Links. <\/p>\n Patch for Samba 4.7.2<\/a> Alternativ kann man SMBv1 auf dem Server deaktivieren. Hier<\/a> schl\u00e4gt das Projekt den Eintrag <\/p>\n server min protocol = SMB2<\/em> <\/p>\n im Abschnitt [global] der smb.conf <\/em>vor. Danach ist der D\u00e4mon smbd neu zu starten. Allerdings muss man im Hinterkopf behalten (das alte Leid), dass dann einige Clients, die zwingend SMB1 ben\u00f6tigen, nicht mehr an die Freigaben heran kommen. <\/p>\n \u00c4hnliche Artikel<\/strong> Im freien Samba-Paket gibt eine 'use-after-free' Sicherheitsl\u00fccke, die in allen Versionen seit Samba 4.0 (2012 erschienen) existiert. Eine zweite 'heap memory information leak'-L\u00fccke bezieht sich sogar auf Samba ab Version 3.6.0. Gro\u00dfe Linux-Distributionen stellen Updates bereit. Wer kein automatisches Update … Weiterlesen Samba<\/a> erm\u00f6glicht es, Windows-Funktionen wie die Datei- und Druckdienste unter anderen Betriebssystemen wie Linux zu nutzen und auch als Domain Controller zu fungieren. Es implementiert hierf\u00fcr unter anderem das SMB\/CIFS<\/a>-Protokoll. <\/p>\n
Sicherheitsl\u00fccken CVE-2017-14746 und CVE-2017-15275<\/h2>\n
\n
Es gibt Patches<\/h2>\n
Patch for Samba 4.6.10<\/a>
Patch for Samba 4.5.14<\/a> <\/p>\nOder SMB1 abschalten<\/h2>\n<\/p>\n
Sicherheitsl\u00fccke auf Samba-Servern\u2013Patchen angesagt<\/a>
Fliesenleger: Gef\u00e4hrliches Loch in Samba<\/a>
Cyber-Sicherheit (28. August 2017)<\/a>
SMB-L\u00fccke SMBloris in Windows bleibt ungepatcht<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"