Das Open Source-Paket Samba weist insgesamt Sicherheitslücken auf, die durch Updates zügig auf Installationen (z.B. unter Linux) geschlossen werden sollten. Das US-CERT warnt, dass die Sicherheitslücken Angreifern die Kontrolle über die Systeme ermöglichen können.
Die Sicherheitslücken sind unter CVE-2018-10858, CVE-2018-10918, CVE-2018-10919, CVE-2018-1139 und CVE-2018-1140 dokumentiert. Auf der Samba-Webseite gibt es eine Tabelle mit einer Liste aller Updates.
Wer ein Linux-System mit installiertem Samba-Server betreibt, sollte in der Distribution nach Updates für das Samba-Paket schauen. Security Advisories mit Updates sind für Debian, SUSE und Ubuntu. Einige Hinweise hat heise.de hier veröffentlicht.
2015
Samba ist auch in VIELEN DSL- oder Kabel-Routern alias IAD versteckt, beispielsweise denen von AVM (Fritz!Box), Sphairon/ZyXEL (Speedlink, …), Astoria Networks (O2 Homebox, Speedport, …), Arcadyan (O2 Homebox, Speedport, …) und anderen Herstellern, die von Anbietern wie 1&1, Telekomik, Telefonica/o2, Voodoofone etc. teils unter anderen Namen vermarktet werden.
Die dort verfrickelten Versionen von Samba sind typischerweise URALT und werden von den Autoren der Software schon LANGE nicht mehr gewartet; sprich: es gibt KEINE Updates. Zudem sprechen diese Altherthümer auch kein SMB2/3, sondern nur das UNSICHERE SMB1