ClickCease Gefährliche, aus der Ferne ausnutzbare Sicherheitslücke in Samba gefunden

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Gefährliche, aus der Ferne ausnutzbare Sicherheitslücke in Samba gefunden

11. Februar 2022. TuxCare PR Team

Samba, das weit verbreitete Tool zur Dateifreigabe, hat sich vor allem in Umgebungen mit gemischten Systemen etabliert, in denen der Zugriff auf Dateifreigaben von verschiedenen Betriebssystemen aus erfolgen muss. Wie NFS genießt es einen wohlverdienten Ruf für Kompatibilität, Verfügbarkeit und vor allem Sicherheit.

Hochkarätige Dienste wie Samba sind verlockende Ziele für Angreifer, und die in diesen Diensten gefundenen Schwachstellen können oft weitreichende Folgen haben, die manchmal im Lärm der CVE-Ankündigungen untergehen. CVE-2021-44142, eine der kürzlich bekannt gewordenen Sicherheitslücken, die Samba betreffen, hat es geschafft, sich von den anderen abzuheben. Es handelt sich um einen aus der Ferne ausnutzbaren Vektor, der die Ausführung von Remotecode auslösen kann. Erinnert sich noch jemand an Log4j?

Alle Versionen von Samba vor 4.13.17 sind betroffen. Das Extended Lifecycle Support-Team von TuxCare hat Patches für CentOS 8.4, 8.5 und Ubuntu 16.04 veröffentlicht, die alle betroffen sind.

Laut der eigenen Beschreibung des Samba-Projekts der hier gefundenen Schwachstelle ist es für einen entfernten Angreifer möglich, einen Heap-Lese-/Schreibvorgang außerhalb der Grenzen auszulösen, was wiederum zur Ausführung von beliebigem Code als root führt. Der Fehler liegt in dem VFS-Modul namens vfs_fruit.

Samba implementiert zusätzliche Verhaltensweisen, indem es sich auf ein Plugin- oder Modulsystem stützt, um erweiterte Funktionen für unterstützte Protokolle zu ermöglichen oder ganz neue Funktionen hinzuzufügen. Vfs_fruit ist ein solches Modul, das Unterstützung für erweiterte Attribut-Metadaten für Apple SMB-Clients bietet. Wenn ein Benutzer Schreibrechte für die erweiterten Attribute einer Datei hat, können diese erweiterten Attribute so manipuliert werden, dass der Fehler ausgelöst wird.

Wenn in Ihrer Umgebung keine Apple SMB-Clients vorhanden sind oder Sie die vom Modul vfs_fruit bereitgestellten Funktionen nicht benötigen, können Sie es aus der Konfiguration entfernen, indem Sie die Datei smb.conf bearbeiten und jeden "fruit"-Eintrag in der Konfigurationszeile für "vfs objects" entfernen. Dies hat den offensichtlichen Nebeneffekt, dass die Unterstützung für diese erweiterten Attribute tatsächlich deaktiviert wird, was wiederum dazu führt, dass macOS-Clients diese Informationen als leer anzeigen. Wenn das ein akzeptables Ergebnis ist, dann wird dieser Workaround das Problem mit dem VFS-Modul vermeiden.

Wenn Sie jedoch auf diese Funktion angewiesen sind, sollten Sie Ihre Systeme, auf denen Samba läuft, so schnell wie möglich patchen. Da es sich um einen aus der Ferne ausnutzbaren Angriffsvektor handelt, wurde diese Sicherheitslücke mit einer der höchsten Sicherheitsbewertungen der letzten Monate versehen. Redhat zum Beispiel hat sie mit 9,9 von 10 Punkten bewertet (CVSS v3).

Während einige Systemadministratoren dieses Modul jahrelang nicht verwenden, ist es in Geräten und Appliances, die für den Einsatz in gemischten Systemumgebungen entwickelt wurden, wie NAS- und Speichersysteme, standardmäßig enthalten und aktiviert. Wenn Sie keine Patches für diese Geräte zur Verfügung haben, da sie möglicherweise spezielle Firmware-Updates benötigen, sollten Sie zumindest in Erwägung ziehen, den oben beschriebenen Workaround anzuwenden, wenn Sie smb.conf direkt ändern können.

Wie immer stellt das TuxCare Extended Lifecycle Support-Team den Service-Nutzern Patches für die betroffenen Enterprise Linux-Systeme zur Verfügung. Speziell für CentOS 8.4, 8.5 und Ubuntu 16.04 sind bereits Patches verfügbar.

Wenn Sie mehr über den Extended Lifecycle Service von TuxCare erfahren möchten und wie er Ihnen helfen kann, Ihre nicht mehr unterstützten Systeme reibungslos und sicher zu betreiben und gleichzeitig die Compliance-Anforderungen zu erfüllen, finden Sie hier weitere Informationen.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter