2017-0518: Samba: Eine Schwachstelle ermöglicht das Ausspähen von Informationen
Historie:
- Version 1 (2017-03-23 17:08)
- Neues Advisory
- Version 2 (2017-03-24 10:28)
- Debian stellt für die Distribution Debian Jessie (stable) ein Backport-Sicherheitsupdate bereit.
- Version 3 (2017-03-29 11:25)
- Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Debuginfo in der Version 11 SP4 stehen Sicherheitsupdates zur Behebung der Samba-Schwachstelle bereit.
- Version 4 (2017-03-30 11:32)
- Für die SUSE Linux Enterprise Produkte Software Development Kit (12 SP1, 12 SP2), High Availability (12, 12 SP1, 12 SP2), Server (for SAP 12, for Raspberry Pi 12 SP2, 12 LTSS, 12 SP1, 12 SP2) sowie Desktop (12 SP1, 12 SP2) stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit.
- Version 5 (2017-03-31 12:41)
- Das zuvor als Ubuntu Security Notice USN-3242-1 veröffentlichte Sicherheitsupdate für Ubuntu Linux führt eine Regression ein, wenn Samba konfiguriert ist, symbolischen Verknüpfungen nicht zu folgen. Canonical stellt ein neues Sicherheitsupdate zur Behebung dieser Regression bereit.
- Version 6 (2017-04-03 14:08)
- Für Fedora 24 und 25 stehen Sicherheitsupdates in Form der Pakete 'samba-4.4.13-0.fc24' und 'samba-4.5.8-0.fc25' als Ersatz für die zuvor veröffentlichten und in den Status 'unpushed' versetzten Sicherheitsupdates FEDORA-2017-ab5fa91445 und FEDORA-2017-8ac84a5cc3 (Referenzen aus dieser Meldung entfernt) bereit. Das Sicherheitsupdate für Fedora 24 befindet sich im Status 'testing', das Sicherheitsupdate für Fedora 25 besitzt bereits den Status 'stable'.
- Version 7 (2017-04-04 11:12)
- Für Fedora 26 steht mit dem Paket 'samba-4.6.2-0.fc26' ein Sicherheitsupdate im Status 'testing' bereit.
- Version 8 (2017-04-06 14:10)
- Für openSUSE Leap 42.1 und 42.2 stehen Sicherheitsupdates für Samba bereit.
- Version 9 (2017-04-10 13:55)
- Für Fedora 24 steht ein neues Sicherheitsupdate im Status 'testing' bereit. Das bisherige Sicherheitsupdate FEDORA-2017-461ce095b5 befindet sich mittlerweile im Status 'obsolete' (Referenz entfernt), da es im Kontext von 'nss_wins' aufgrund einer fehlenden Abhängigkeit (libreplace-samba4.so) durch das Update zum Absturz der Software kam.
- Version 10 (2017-04-25 17:16)
- Canonical stellt für Ubuntu Linux 17.04 nun ebenfalls ein Sicherheitsupdate bereit.
- Version 11 (2017-05-09 12:18)
- SUSE stellt für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP3 LTSS und 11 SP4, Debuginfo 11 SP3 und 11 SP4 sowie OpenStack Cloud 5 Sicherheitsupdates für Samba bereit, um die Schwachstelle zu beheben.
- Version 12 (2018-01-26 17:45)
- Für Oracle Linux 6 steht mit Oracle Linux Bug Fix Advisory ELBA-2018-0170 ein Update für 'samba' bereit, durch welches eine Regression von CVE-2017-2619 behoben wird.
Betroffene Software
Server
Systemsoftware
Betroffene Plattformen
Netzwerk
Cloud
Linux
Oracle
Beschreibung:
Ein entfernter, einfach authentisierter Angreifer mit der Berechtigung, im geteilten Exportpfad eines Samba-Servers symbolische Verknüpfungen zu erzeugen, kann Zugriff auf beliebige Dateien des Serverdateisystems erhalten, wenn er einen kritischen Wettlauf gewinnt.
Der Hersteller bestätigt die Schwachstelle für alle Versionen von Samba vor 4.4.11, 4.5.7 und 4.6.1 und stellt die Versionen 4.4.12, 4.5.7 und 4.6.1 als Sicherheitsupdates zur Verfügung.
Canonical stellt für die aktuell unterstützten Distributionen Ubuntu Linux 12.04 LTS, 14.04 LTS, 16.04 LTS und 16.10 Backport-Sicherheitsupdates bereit. Für Fedora 24 und 25 stehen Sicherheitsupdates bereit, die sich derzeit noch im Status 'pending' befinden.
Schwachstellen:
CVE-2017-2619
Schwachstelle in Samba ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.