Kritische Schwachstelle in Samba-Software
Betroffene Systeme
* Systeme, die Samba 2.0.X bis inkl. 2.2.7a
betreiben
Nicht betroffene
Systeme
* Systeme, die Samba 2.2.8 einsetzen
* Systeme, die mit entsprechenden Vendor-Patches
zur Behebung der Schwachstelle versehen
sind, die aber i.d.R. nicht die Versionsnummer
ändern.
Einfallstor
* Verbindung zum Samba-Server auf den Ports
UDP/137, UDP/138, TCP/139, TCP/445
Auswirkung
Ausführung beliebigen Programmcodes
mit den Privilegien des smbd, üblicherweise
sind dies root-Privilegien (remote root
compromise)
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
sehr hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)
Kontext
[2]Samba implementiert das Server Message
Block (SMB)-Protokoll, manchmal auch als
Common Internet File System (CIFS), LanManager
oder NetBIOS-Protokoll bezeichnet, auf UNIX-Systemen.
SMB wird von Microsoft-Betriebssystemen
für netzbasierte Dateisysteme und andere
verteilte Anwendungen benutzt.
Beschreibung
Die Routinen zur Reassemblierung fragmentierter
SMB/CIFS-Pakete besitzen eine Pufferüberlaufschwachstelle.
Durch das Senden entsprechend formulierter
Pakete an smbd kann diese dazu ausgenutzt
werden, ohne Authentifizierung beliebigen
Programmcode mit den
Privilegien von smbd auf dem beherbergenden
Rechnersystem auszuführen. Üblicherweise
läuft smbd unter der UID=0 (root),
was bedeutet, daß die Ausnutzung dieser
Schwachstelle zur Kompromittierung des beherbergenden
Rechnersystems führt.
Workaround
Es gibt verschiedene Möglichkeiten,
verwundbare Systeme vor Angriffen gegen
diese Schwachstelle partiell zu schützen.
Diese Maßnahhmen sollten kombiniert
eingesetzt werden, um größtmöglichen
Schutz zu erlangen.
Grundsätzlich sollte smbd nur von Sytemen und Netzen aus erreichbar sein, deren Zugriff intendiert ist. Für alle anderen Systeme und Netze sollte der Zugriff auf möglichst vielen Ebenen gesperrt sein, auch bei nicht verwundbaren Systemen.
* Samba-spezifisches Zugriffsmanagement
Konfiguration von Samba solchermaßen,
daß nur plausible, also intendierte
Systeme zugreifen können. Dies kann
z. B. bedeuten, daß man nicht über
Wählverbindungen auf den Samba-Server
zugreifen darf.
* Schutz durch eine Firewall/einen Paketfilter
1. Hostbasiert
Konfiguration eines rechnerbasierten Paketfilters,
wie z. B. iptables solchermaßen, daß
auf die Ports
UDP/137
UDP/138
TCP/139
TCP/445
nur zugelassene Systeme, beispielsweise
aus einem Subnetz oder einzelne IP-Adressen,
zugreifen können.
2. Netzbasiert
Konfiguration eines Gateways zu einem Subnetz
solchermaßen, daß von außerhalb
auf den darin befindlihen Samba-Server nur
zugelassene Systeme und diese nur auf die
Ports
UDP/137
UDP/138
TCP/139
TCP/445
oder keine Systeme zugreifen können.
Achtung! Die vorgenannten Maßnahmen
beseitigen nicht die Schwachstelle, sie
schränken lediglich die Anzahl potenteller
Angreifer ein. Die einzig wirksame temporäre
Maßnahme, die eine Ausnutzung dieser
Schwachstelle verhindert, ist die
* Abschaltung des Samba-Servers
Gegenmaßnahmen
* Upgrade auf [3]Samba 2.2.8
Folgende Distributoren bieten bereits aktuelle
Pakete bzw.Patches an:
* Debian GNU/Linux [4]DSA-262-1
* Hewlett-Packard [5]HPSBUX0303-251
* Red-Hat [6]RHSA-2003:095-01
* SuSE [7]SuSE-SA:2003:016
Vulnerability
ID
* [8]CAN-2003-0085
Weitere Information
zu diesem Thema
* [9]Samba Homepage
* Unter der Vulnerability-ID [10]CAN-2003-0086
befindet sich offenbar derzeit eine weitere
Schwachstelle Sambas im Review-Prozess,
die einen local root compromise durch eine
Race Condition bei der Anwendung des chown-Kommandos
ermöglicht. Information hierzu ist
beim Samba-Projekt jedoch nicht zu finden.
Aktuelle Version
dieses Artikels
[11]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1086
Copyright © 2003 RUS-CERT, Universität
Stuttgart,
[12]http://CERT.Uni-Stuttgart.DE/
References
1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php
[Link entfernt]
2. http://www.samba.org/
3. http://www.samba.org/samba/whatsnew/samba-2.2.8.html
[Link entfernt]
4. http://www.debian.org/security/2003
5. http://cert.uni-stuttgart.de/archive/win-sec-ssc/2003/03
[Link entfernt]
6. http://cert.uni-stuttgart.de/archive/win-sec-ssc/2003/03
[Link entfernt]
7. http://cert.uni-stuttgart.de/archive/win-sec-ssc/2003/03
[Link entfernt]
8. http://cve.mitre.org/cgi-bin/cvename.cgi
9. http://www.samba.org/
10. http://cve.mitre.org/cgi-bin/cvename.cgi
11. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1086
12. http://CERT.Uni-Stuttgart.DE/