{"id":201965,"date":"2018-03-13T15:35:55","date_gmt":"2018-03-13T14:35:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=201965"},"modified":"2021-08-16T19:01:17","modified_gmt":"2021-08-16T17:01:17","slug":"samba-passwort-sicherheitslcke-patchen-ist-angesagt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/03\/13\/samba-passwort-sicherheitslcke-patchen-ist-angesagt\/","title":{"rendered":"Samba: Passwort-Sicherheitslücke; patchen ist angesagt!"},"content":{"rendered":"

Im Samba-Paket gibt es in der Version 4.0 eine fiese Sicherheitsl\u00fccke. Wird Samba 4 als Active Directory Domain-Controller betrieben, kann jeder Nutzer (nicht nur der Administrator) die Kennw\u00f6rter nach einer Anmeldung \u00e4ndern. <\/p>\n

<\/p>\n

Samba kann nicht nur als File-Server auf Linux-Maschinen f\u00fcr den Datenaustausch in Windows-Umgebungen dienen. Samba l\u00e4sst sich auch als Domain-Controller f\u00fcr ein Active Directory einsetzen. Und genau in dieser Konstellation gibt es eine b\u00f6se Sicherheitsl\u00fccke. <\/p>\n

Das Ganze ist im Samba Wiki als CVE-2018-1057: Unprivileged user can change any user (and admin) password<\/a> dokumentiert. Nicht privilegierte Nutzer k\u00f6nnen die Kennw\u00f6rter nach einer Anmeldung \u00e4ndern. Das gilt nicht nur f\u00fcr Nutzerkennw\u00f6rter, sondern auch f\u00fcr die Passw\u00f6rter von Dienst-Konten. Im Wiki-Beitrag liest man, dass Samba 4-File-Server von der L\u00fccke nicht betroffen sind. Nur wer Samba 4 als Active Directory Domain-Controller (DC) verwendet, muss reagieren. Betroffen sind alle Samba-Installationen seit der Version Samba 4.0alpha13. <\/p>\n

Das Projekt samba.org pflegt hier eine Liste<\/a> mit einer \u00dcbersicht \u00fcber Sicherheit-Patches, wo auch die aktuellen Updates aufgef\u00fchrt werden.  <\/p>\n