Die Samba-Entwickler haben drei Schwachstellen in ihrer freien Software-Sammlung geschlossen, die das Server-Message-Block-Protokoll (SMB) für Unix-Systeme nutzbar macht. Die Sicherheitslücken werden unter den Kennungen CVE-2017-12150, CVE-2017-12151 und CVE-2017-12163 geführt. Sie stecken in allen Versionen von Samba vor 4.4.15, 4.5.14 und 4.6.8.
Da Samba Teil vieler anderer Produkte ist, sind auch die von den Schwachstellen betroffen. Dazu gehören Red Hat Enterprise Linux Resilient Storage, Red Hat Enterprise Linux for Scientific Computing, Red Hat Enterprise Linux Server, Red Hat Enterprise Linux Workstation 6 jeweils in mehreren Versionen, sowie Red Hat Fedora 25, 26 und 27. Außerdem sind Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 17.04, Debian Linux 8.9 Jessie, Debian Linux 9.1 Stretch, GNU/Linux sowie Oracle Linux 6 und Oracle Linux 7 aufgrund der Lücken in Samba anfällig.
Red Hat informiert Nutzer in mehreren Advisories (RHSA-2017:2791, RHSA-2017:2789 und RHSA-2017:2790), aber auch für Ubuntu und Debian gibt es bereits Sicherheitshinweise. Oracle hat seine Anwender ebenso wie Red Hat mit drei Advisories zu den Lücken informiert ELSA-2017-2789, ELSA-2017-2790 und ELSA-2017-2791.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Die Lücke mit der Kennung CVE-2017-12150 könnte für eine Man-in-the-Middle-Attacke zur Umleitung von Client-Verbindungen ausgenutzt werden. CVE-2017-12151 erlaubt bei einer Man-in-the-Middle-Attacke das mitlesen und die Veränderung vertraulicher Dokumente, wenn die ursprüngliche Client-Verbindung SMB3 nutzt. CVE-2017-12163 erlaubt einem Angreifer über einen Client mit Schreibzugriff Memory-Inhalte eines Servers in einem Dokument oder an einem Drucker auszugeben.
Die Lücken werden mit den Sicherheits-Updates auf die Samba-Versionen 4.4.16, 4.5.14 und 4.6.8 geschlossen. Nutzer von Fedora 25 und 26 sollten die Pakete ‘samba-4.5.14-0.fc25’ im Status ‘pending’ und ‘samba-4.6.8-0.fc26’ im Status ‘testing’ installieren, um die Fehler zu beheben. Das BSI stuft die von den drei nun geschlossenen Lücken ausgehende Gefahr als niedrig ein. Sie sind daher nicht mit der im April entdeckten udn zuvor sieben Jahre lang ungepatchten, gravierenden, SambaCry genanten Sicherheitslücke oder der ein Jahr zuvor rund drei Wochen lang offenen Badlock genannten Schachstelle gleichzusetzen.
Tipp: Wie gut kennen Sie sich mit Open Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.