Im (unter Linux zur Freigabe von Dateien in Windows-Netzwerken genutzten) Samba-Paket gibt es Schwachstellen. Diese führen dazu, dass Samba 4-Server von außen in bestimmten Szenarien per DDoS angegriffen und lahm gelegt werden können. Updates und Workarounds sind aber verfügbar.
Anzeige
Ein anonymer Nutzer hatte die Tage bereits in diesem Kommentar auf einen bereits bei heise publizierten Artikel zum Thema hingewiesen. Bei der Verarbeitung von DNS-Paketen durch den Samba 4-Server kann es zu Fehlern kommen, wenn das Ganze als Active Directory Domain Controller läuft. Verantwortlich ist die Schwachstelle CVE-2020-10745, die auf samba.org folgendermaßen als Problem beschrieben wird:
=========================================================== == Subject: Parsing and packing of NBT and DNS packets == can consume excessive CPU in the AD DC (only) == == CVE ID#: CVE-2020-10745 == == Versions: All Samba versions since 4.0.0 == == Summary: Compression of replies to NetBIOS over TCP/IP == name resolution and DNS packets (which can be == supplied as UDP requests) can be abused to == consume excessive amounts of CPU on the Samba == AD DC (only). == =========================================================== =========== Description =========== The NetBIOS over TCP/IP name resolution protocol is framed using the same format as DNS, and Samba's packing code for both uses DNS name compression. An attacker can choose a name which, when the name is included in the reply, causes the DNS name compression algorithm to walk a very long internal list while trying to compress the reply. This in in part because the traditional "." separator in DNS is not actually part of the DNS protocol, the limit of 128 components is exceeded by including "." inside the components. Specifically, the longest label is 63 characters, and Samba enforces a limit of 128 components. That means you can make a query for the address with 127 components, each of which is "...............................................................". In processing that query, Samba rewrites the name in dot-separated form, then converts it back to the wire format in order to reply. Unfortunately for Samba, it now finds the name is just 8127 dots, which it duly converts into over 8127 zero length labels.
Patches verfügbar
Patches, die sich mit diesen beiden Problemen befassen, wurden auf dieser Samba-Seite veröffentlicht. Zusätzlich wurden die Samba 4.10.17, 4.11.11 und 4.12.4 als
Sicherheitsfreigaben zur Behebung des Fehlers veröffentlicht. Samba-Administratoren wird empfohlen, auf diese Versionen zu aktualisieren oder den Patch anzuwenden, sobald
möglich.
Ein Workaround
Der anfällige DNS-Server (Port 53) und NBT-Server (Port 139) ist nur verfügbar, wenn Samba als Active Directory DC ausgeführt wird. Im AD DC kann der NBT-Server
mit disable netbios = yes' deaktiviert werden.
Anzeige
Mit Linux wäre das nicht passiert, und das obwohl Microsoft am Samba-Code mitarbeitet. Ooops. *scnr*