Alle Versionen von Samba vor 4.13.17 sind anfällig für eine Heap-Read-Write-Schwachstelle CVE-2022-44142, die Remote-Angreifern erlaubt, beliebigen Code als root auf betroffenen Samba Installationen, die das VFS-Modul vfs_fruit verwenden, auszuführen. Die Schwachstelle wurde von Orange Tsai von DEVCORE gemeldet. Informationen zu Patches für diese und weitere Schwachstellen lassen sich auf dieser Webseite abrufen. Neben der Seite zu CVE-2022-44142 haben die Kollegen von Bleeping Computer hier einige Informationen veröffentlicht.
Anzeige
War da nicht gerade wieder einer, der wegen Hack dieser Ölfirma empfohlen hat, auf Linux umzusteigen? Macht es solch ein Tipp besser? Das ist jetzt der vierte Zeroday in einer weit verbreiteten Linux-Kernkomponente in den letzten 2 Wochen. Wenn man dann mal nachfragt, ist doch Opensource, kann doch jeder rein gucken und den Fehler finden, warum hast du nichts gemerkt? Dann kommt keine Antwort darauf. Machen wir uns nichts vor, egal ob man Windows, Linux oder einen Mac einsetzt, alles voll mit Sicherheitslücken, alles hackbar.
Würde man tatsächlich komplett auf Linux umsteigen, dann hätte man das Problem auch tatsächlich nicht, denn dann bräuchte man auch kein Samba, denn Samba braucht man nur für den Netzwerkaustausch mit Windows oder Apple.
Der aktuelle Bug betrifft auch nur ein Modul für den Austausch mit Apple.
Samba ohne dieses Modul ist nicht betroffen.
Folgt man dem KISS Prinzip und installiert nur das, was man wirklich braucht, dann ist der Datenaustausch mit Windows weiter sicher.
Das gute an Linux ist, dass es innerhalb von Stunden nach der Entdeckung bzw nach der Meldung Sicherheitsupdates gibt, während man bei Windows oft wochenlang oder monatelang warten muss und es dann manchmal trotzdem nicht funktioniert.
Der Linux-Kernel wird seit 2021 teilweise auch in die sichere Sprache Rust umgeschrieben, wo einige Fehler wie Heap-Overflow oder Arraygrenzenüberschreitungen gar nicht mehr möglich sind.
Dafür arbeiten Google, Microsoft, ARM und Red Hat mit dem Rust-Entwickler Miguel Ojeda zusammen.
Wie man es von Google Project Zero kennt, lassen die ihre Fuzzing Tools auf den Kernel los und entdecken so auch viele potentielle Schwachstellen, bevor sie Hacker ausnutzen.
Das wird Linux noch weiter härten.
"Das gute an Linux ist, dass es innerhalb von Stunden nach der Entdeckung bzw nach der Meldung Sicherheitsupdates gibt"
Dazu müssen die Lücken aber auch erstmal "offiziell" entdeckt werden. Wenn eine Lücke bekannt ist, geht es ja sowohl unter Linux als auch Windows meistens recht schnell. Aber oft braucht es halt sehr lange, bis eine Lücke als solche erkannt wird, und da ist Linux keinen Millimeter besser! Das hier war 12 Jahre (!!!) offen, wurde erst vor 6 Tagen geschlossen:
https://thehackernews.com/2022/01/12-year-old-polkit-flaw-lets.html
Und jetzt frage ich dich, wieviele ungepatchte (Netzwerk-)Dinger da draußen unter Linux laufen wo niemals mehr dieses Update rein kommt.
Wie viele Windows "Dinger" gibt es wo noch SMBv1 aktiv ist?
Linux "Dinger" haben meist gar kein Samba aktiv, du pauschalisiert hier wie immer per definition einfach nur gegen Linux.
Niemand streitet ab das es unter Linux Lücken gibt, gibts wohl unter jedem System…
Mein VDSL-Router hat schon ein paar Jährchen auf dem Buckel, und es ist ein großer USB-Stick per SMB freigegeben, interessanterweise ist der Stick sogar von Windows 2000 erreichbar… Welche SMB-Version mag der denn dann wohl auch unterstützen…? Der hat schon lange kein Update mehr gesehen. Aber warum soll ich den tauschen, von Außen alles dicht, und er liefert die geforderten 100 MBit an der VDSL-Leitung (sogar noch ein bischen mehr).
Und du möchtest mir sagen das die Linux Community dafür verantwortlich ist das der Hersteller deines VDSL Routers keine Updates bereitstellt?
Aha, da haben wir es, Microsoft ist dafür verantwortlich das es haufenweise Clientanwendungen gibt die noch heute nur per SMBv1 auf ihre Daten auf gemappten Serverlaufwerken zugreifen. Sie schaffen es zwar schon nicht ihre eigenen Produkte gut zu supporten, aber warum nicht mit billiger Polemik pauschalisiert draufhauen
Nach dem KISS Prinzip müsste man unter linux alle Quellen selber übersetzen um ganz sicher zu sein.
SAmba kommt in den letzten Jahren irgendwie auch nicht so richtig vom Fleck. Das fängt bei den AD Forest Leveln an und zieht sich durch die konfig als AD durch. Das dürfte auch am fehlen der Mittel für die Entwicklung liegen. Server GPO für die Domain – bsp für Passwort Richtlinien Fehlanzeige. Das wird auf der commandozeile mit ein super langen Befehl gesetzt.
Ob Google, ms und arm linux „härter" macht glaube ich auch nicht.
"Nach dem KISS Prinzip müsste man unter linux alle Quellen selber übersetzen um ganz sicher zu sein. "
Aber auch nur wenn du das durch den selbst komplierten Compiler jagst.
Linux ist genauso unsicher wie alles andere. Die Illusion "Open Source" und Sicherheit sind schon länger vorbei. Ich bin mal gespannt wann die Datenschutzfreds das auch kapieren ;)
Ah, gerade das Samba-Update bekommen. Bei Windows müsste ich mindestens bis zum nächsten oder x-ten Patchday warten.
… und den Rechner noch 2 – 6 Stunden online lassen damit beim Patchen nichts schief geht ( finsteres Mittelalter )
Schon aber nicht mehrere Jahre wie bei Linux ;)
Sich etwas schön zu reden ändert leider nichts.
In Windows schlummern die unentdeckten Bugs und Lücken doch ebenfalls mehrere Jahre.
Wie schön dass du "ebenfalls" schreibst, da reift langsam eine gewisse Erkenntnis! Gratuliere!
Auch unter Windows werden üblicherweise Sicherheitslücken erst mit Veröffentlichung der Updates bekannt, manchmal sogar erst später. Also, auch hier nichts besseres oder neueres.
VFS-Modul vfs_fruit
Hat das überhaupt wer am laufen ?