DFN-CERT

Advisory-Archiv

2019-0955: Samba: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2019-05-14 18:15)
Neues Advisory
Version 2 (2019-05-14 20:10)
Canonical behebt die Schwachstelle jetzt auch für Ubuntu 12.04 ESM und Ubuntu 14.04 ESM und stellt auf Backports basierende Sicherheitsupdates für Samba bereit.
Version 3 (2019-05-15 15:34)
ür die stabile Distribution Debian Stretch (9.9) steht ein Sicherheitsupdate auf die Version 2:4.5.16+dfsg-1+deb9u2 bereit, um die Schwachstelle zu beheben.
Version 4 (2019-05-16 12:53)
Für Debian Jessie (LTS) steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'samba' zur Verfügung.
Version 5 (2019-05-28 11:11)
Durch die bisherigen Sicherheitsupdates für 'samba' in Ubuntu 14.04 ESM, Ubuntu 16.04 LTS und Ubuntu 18.04 LTS wurden Regressionen eingeführt, die durch neu veröffentlichte Updates behoben werden.

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, einfach authentisierter Angreifer kann über einen Man-in-the-Middle-Angriff den Benutzer-Principal (z. B. user@EXAMPLE.COM) eines S4U2Self-Pakets in einen beliebigen anderen gültigen Benutzer-Principal (z. B. Administrator@EXAMPLE.COM), der im Heimdal KDC vorhanden ist, ändern und dadurch seine Privilegien erweitern.

Das Samba Team informiert über die Schwachstelle in verschiedenen aktuellen Versionszweigen der Software und stellt die Versionen 4.8.12, 4.9.8 und 4.10.3 als Sicherheitsupdates bereit. Zusätzlich stehen einzelne Patches zur Verfügung, mit denen nur die zur Behebung der Schwachstelle notwendigen Änderungen umgesetzt werden.

Canonical stellt für Ubuntu 19.04, Ubuntu 18.10, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates zur Behebung der Schwachstelle in Samba zur Verfügung. Für Fedora 29 und 30 stehen ebenfalls Sicherheitsupdates in Form der Pakete 'samba-4.9.8-0.fc29' und 'samba-4.10.3-0.fc30' im Status 'pending' bereit.

Schwachstellen:

CVE-2018-16860

Schwachstelle in Heimdal / Samba ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.