DFN-CERT

Advisory-Archiv

2019-0836: Samba: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2019-04-26 13:30)
Neues Advisory
Version 2 (2019-04-29 17:46)
Für die Distribution openSUSE Leap 42.3 steht ein Sicherheitsupdate für Samba zur Verfügung, mit dem auch vier weitere, nicht sicherheitsrelevante Korrekturen durchgeführt werden.
Version 3 (2019-05-09 12:53)
Für SUSE OpenStack Cloud 7, SUSE Enterprise Storage 4, SUSE Linux Enterprise Server for SAP 12 SP1 und SP2, SUSE Linux Enterprise Server 12, 12 SP1 und SP2 LTSS, SUSE Linux Enterprise Server 12 SP2 BCL sowie SUSE Linux Enterprise High Availability 12 und 12 SP1 stehen Sicherheitsupdates für 'samba' bereit.
Version 4 (2019-05-13 13:03)
Für SUSE OpenStack Cloud 7, SUSE Enterprise Storage 4, SUSE Linux Enterprise Server for SAP 12 SP2, SUSE Linux Enterprise Server 11 SP4 LTSS, 12 SP2 LTSS und 12 SP2 BCL sowie für SUSE Linux Enterprise Debuginfo 11 SP3 und 11 SP4 stehen Sicherheitsupdates für 'samba' bereit, welche neben der Schwachstelle jeweils verschiedene weitere nicht sicherheitsrelevante Fehler beheben.
Version 5 (2019-07-30 16:17)
Red Hat veröffentlicht ein Sicherheitsupdate für Red Hat Gluster Storage Server for On-premise 3 für Red Hat Enterprise Linux 7, um die Schwachstelle zu schließen.
Version 6 (2019-07-30 19:27)
Red Hat stellt jetzt auch ein Sicherheitsupdate für Red Hat Gluster Storage Server for On-premise 3 für Red Hat Enterprise Linux 6 zur Behebung der Schwachstelle bereit.
Version 7 (2019-08-07 17:42)
Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für 'samba' bereit. Die Updates stehen damit unter anderem für die Produktvarianten Red Hat Enterprise Linux for Scientific Computing, Desktop, Server, Workstation und Resilient Storage in Version 7 zur Verfügung.
Version 8 (2019-11-06 13:58)
Für Red Hat Enterprise Linux 8 (x86_64, aarch64) und Red Hat CodeReady Linux Builder 8 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'samba' bereit. Diese Updates werden im Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 8.1 zur Verfügung gestellt.

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Ein entfernter, einfach authentifizierter und niedrig privilegierter Angreifer kann Hive-Dateien der Windows-Registrierungsdatenbank überall dort erstellen, wo er über UNIX-Rechte zur Erstellung von Dateien verfügt. Freigabebeschränkungen wie 'read only' oder 'Share-ACLs' verhindern die Erstellung von Hive-Dateien nicht. Bestehende Dateien können nicht überschrieben werden.

SUSE veröffentlicht für die SUSE Linux Enterprise Produktvarianten Software Development Kit, Server, High Availability und Desktop jeweils in den Versionen 12 SP3 und 12 SP4 sowie SUSE Enterprise Storage 5 Sicherheitsupdates für Samba, um die Schwachstelle zu beheben. Zusätzlich zur Schwachstelle werden mit den verfügbaren Sicherheitsupdates fünf nicht sicherheitsrelevante Fehler behoben.

Weiterhin stellt SUSE für die SUSE Linux Enterprise Module für Packagehub Subpackages, Open Buildservice Development Tools, Development Tools, Desktop Applications und Basesystem jeweils in der Version 15 sowie für SUSE Linux Enterprise High Availability 15 Sicherheitsupdates zur Verfügung, die neben der Schwachstelle drei weitere, nicht sicherheitsrelevante Fehler adressieren und vier zusätzliche Probleme durch ein Update für die Samba-Datenbankengine 'ldb' beheben.

Schwachstellen:

CVE-2019-3880

Schwachstelle in Samba ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.