[PUG] heise online: SuSE findet Samba-Sicherheitsloch
Diese Meldung aus dem heise online-Newsticker wurde Ihnen von [EMAIL PROTECTED] gesandt. Wir weisen darauf hin, dass die Absenderangabe nicht verifiziert ist. Sollten Sie Zweifel an der Authentizität des Absenders haben, ignorieren Sie diese E-Mail bitte. SuSE findet Samba-Sicherheitsloch Erneut müssen die Samba-Entwickler eine Sicherheitslücke im freien Windows-Server schließen. Nachdem Debain-Entwickler bei einem Quelltext-Audit im November eine Lücke entdeckt hatten[1], hat nun Sebastian Krahmer aus dem SuSE Security Audit Team eine weitere gefunden: Sie betrifft Samba ab Version 2.0.x, beruht auf einem Pufferüberlauf in dem Code, der einzelne Paketfragmente neu zusammenbaut, und könnte von einem Angreifer dafür genutzt werden, beliebigen Code mit root-Rechten auszuführen. In der auf den Mirror-Servern[2] bereitstehenden neuen Samba-Version 2.2.8 hat das Samba-Team die Sicherheitslücke geschlossen. Detaillierte Anleitungen, wie man ältere Server schützen kann, sind in den Release Note zur neuen Version zu finden. Wie schon beim letzten Mal nutzen die Entwickler das Update, um weitere Korrekturen an der stabilen Version (2.2) vorzunehmen. Der ursprüngliche Plan sah vor, die Weiterentwicklung der Nachfolgegeneration von Samba (3.0) mit aller Kraft voranzutreiben. Die Version 2.2.8 bringt diverse kleine Korrekturen mit, die unter anderem die LDAP- und Winbind-Funktionen betreffen. Das Frontend zur Verwaltung der verschlüsselten Passwörter (smbpasswd) kennt nun Optionen, mit denen man die SID für den Domänenbetrieb auslesen und setzen kann, die bisher in einer der Samba-eigenen Konfigurationsdatenbanken (secrets.tdb) verborgen und nur schwer zu beeinflussen war. (ps[3]/c't) URL dieses Artikels: http://www.heise.de/newsticker/data/ps-16.03.03-000/ Links in diesem Artikel: [1] http://www.heise.de/newsticker/data/ps-20.11.02-001/ [2] http://www.samba.org [3] mailto:[EMAIL PROTECTED] Copyright 2003 by Heise Zeitschriften Verlag PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] heise online: SuSE findet Samba-Sicherheitsloch
Sonntag, 16. März 2003 16:45, [PUG] heise online: SuSE findet Samba-Sicherheitsloch, [EMAIL PROTECTED], [EMAIL PROTECTED] Diese Meldung aus dem heise online-Newsticker wurde Ihnen von [EMAIL PROTECTED] gesandt. Wir weisen darauf hin, dass die Absenderangabe nicht verifiziert ist. Sollten Sie Zweifel an der Authentizität des Absenders haben, ignorieren Sie diese E-Mail bitte. SuSE findet Samba-Sicherheitsloch Erneut müssen die Samba-Entwickler eine Sicherheitslücke im freien Windows-Server schließen. Nachdem Debain-Entwickler bei einem Quelltext-Audit im November eine Lücke entdeckt hatten[1], hat nun Sebastian Krahmer aus dem SuSE Security Audit Team eine weitere gefunden: Sie betrifft Samba ab Version 2.0.x, beruht auf einem Pufferüberlauf in dem Code, der einzelne Paketfragmente neu zusammenbaut, und könnte von einem Angreifer dafür genutzt werden, beliebigen Code mit root-Rechten auszuführen. In der auf den Mirror-Servern[2] bereitstehenden neuen Samba-Version 2.2.8 hat das Samba-Team die Sicherheitslücke geschlossen. Detaillierte Anleitungen, wie man ältere Server schützen kann, sind in den Release Note zur neuen Version zu finden. Wie schon beim letzten Mal nutzen die Entwickler das Update, um weitere Korrekturen an der stabilen Version (2.2) vorzunehmen. Der ursprüngliche Plan sah vor, die Weiterentwicklung der Nachfolgegeneration von Samba (3.0) mit aller Kraft voranzutreiben. Die Version 2.2.8 bringt diverse kleine Korrekturen mit, die unter anderem die LDAP- und Winbind-Funktionen betreffen. Das Frontend zur Verwaltung der verschlüsselten Passwörter (smbpasswd) kennt nun Optionen, mit denen man die SID für den Domänenbetrieb auslesen und setzen kann, die bisher in einer der Samba-eigenen Konfigurationsdatenbanken (secrets.tdb) verborgen und nur schwer zu beeinflussen war. (ps[3]/c't) URL dieses Artikels: http://www.heise.de/newsticker/data/ps-16.03.03-000/ Links in diesem Artikel: [1] http://www.heise.de/newsticker/data/ps-20.11.02-001/ [2] http://www.samba.org [3] mailto:[EMAIL PROTECTED] Copyright 2003 by Heise Zeitschriften Verlag --- - PUG - Penguin User Group Wiesbaden - http://www.pug.org faszinierend -gk -- Günther Künzel +49 160 91586447 [EMAIL PROTECTED] http://www.jawz.de PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] heise online: SuSE findet Samba-Sicherheitsloch
Am Sonntag, 16. März 2003 17:08 schrieb guenther kuenzel: SuSE findet Samba-Sicherheitsloch [Fullquote gelöscht] faszinierend -gk Womit man manchen Menschen doch eine Freude machen kann :-) chris PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] heise online: SuSE findet Samba-Sicherheitsloch
Sonntag, 16. März 2003 17:14, Re: [PUG] heise online: SuSE findet Samba-Sicherheitsloch, Christian Schmidt [EMAIL PROTECTED], [EMAIL PROTECTED] Womit man manchen Menschen doch eine Freude machen kann :-) faszination != freude -gk -- Günther Künzel +49 160 91586447 [EMAIL PROTECTED] http://www.jawz.de PUG - Penguin User Group Wiesbaden - http://www.pug.org
