Samba-Team patcht Schwachstelle im Softwarepaket

Das Entwicklerteam des freien Softwarepakets Samba hat Security-Releases und Patches veröffentlicht, die eine Schwachstelle im Authentifizierungsdienst (Heimdal) Kerberos beseitigen sollen.

Das Samba-Team stuft die Bedrohung in einem Security Advisory als “hoch” ein und rät Admins, zeitnah zu patchen oder auf eines der abgesicherten Releases umzusteigen. Auch das BSI hat einen Warnhinweis veröffentlicht.

Die Schwachstelle trägt die Kennung CVE-2018-16860 und besteht in einer unvollständigen Checksummen-Validierung durch die Kerberos-Extension S4U2Self im Zusammenspiel mit ihrer Komponente S4U2Proxy. Ein einfach authentifizierter Angreifer könnte diesen Fehler via Man-in-the-Middle-Attacke ausnutzen, seine Rechte zu erweitern.

Verwundbar sind laut Samba-Team alle Versionen seit 4.0. Die abgesicherten Samba-Releases tragen die Versionsnummern 4.8.12, 4.9.8 and 4.10.3. Zusätzlich stehen Patches gegen CVE-2018-16860 für Samba, 4.8.11, 4.9.7 und 4.10.2 bereit.

Dem Hinweis ist zusätzlich auch zu entnehmen, dass alle Heimdal-Releases seit 0.8 bis einschließlich 7.5.0 die Schwachstelle aufweisen – und damit wohl auch alle Produkte, in denen von diesen Releases abgeleitete Key Distribution Centers (KDC) zum Einsatz kommen.

Linux-Nutzer sollten Ausschau nach aktualisierten Samba-Packages halten. Weiterführende Informationen dazu gibt es bisher beispielsweise von Debian, Red Hat und Ubuntu.
(ovw)

Integriert von Heise Security – www.heisec.de