Schwachstelle CVE-2022-44142 in Samba

Alle Versionen von Samba vor 4.13.17 sind anfällig für eine Heap-Read-Write-Schwachstelle CVE-2022-44142, die Remote-Angreifern erlaubt, beliebigen Code als root auf betroffenen Samba Installationen, die das VFS-Modul vfs_fruit verwenden, auszuführen. Die Schwachstelle wurde von Orange Tsai von DEVCORE gemeldet. Informationen zu Patches für diese und weitere Schwachstellen lassen sich auf dieser Webseite abrufen. Neben der Seite zu CVE-2022-44142 haben die Kollegen von Bleeping Computer hier einige Informationen veröffentlicht.


Anzeige

Dieser Beitrag wurde unter Linux, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Schwachstelle CVE-2022-44142 in Samba

  1. 1ST1 sagt:

    War da nicht gerade wieder einer, der wegen Hack dieser Ölfirma empfohlen hat, auf Linux umzusteigen? Macht es solch ein Tipp besser? Das ist jetzt der vierte Zeroday in einer weit verbreiteten Linux-Kernkomponente in den letzten 2 Wochen. Wenn man dann mal nachfragt, ist doch Opensource, kann doch jeder rein gucken und den Fehler finden, warum hast du nichts gemerkt? Dann kommt keine Antwort darauf. Machen wir uns nichts vor, egal ob man Windows, Linux oder einen Mac einsetzt, alles voll mit Sicherheitslücken, alles hackbar.

    • Bolko sagt:

      Würde man tatsächlich komplett auf Linux umsteigen, dann hätte man das Problem auch tatsächlich nicht, denn dann bräuchte man auch kein Samba, denn Samba braucht man nur für den Netzwerkaustausch mit Windows oder Apple.

      Der aktuelle Bug betrifft auch nur ein Modul für den Austausch mit Apple.
      Samba ohne dieses Modul ist nicht betroffen.
      Folgt man dem KISS Prinzip und installiert nur das, was man wirklich braucht, dann ist der Datenaustausch mit Windows weiter sicher.

      Das gute an Linux ist, dass es innerhalb von Stunden nach der Entdeckung bzw nach der Meldung Sicherheitsupdates gibt, während man bei Windows oft wochenlang oder monatelang warten muss und es dann manchmal trotzdem nicht funktioniert.

      Der Linux-Kernel wird seit 2021 teilweise auch in die sichere Sprache Rust umgeschrieben, wo einige Fehler wie Heap-Overflow oder Arraygrenzenüberschreitungen gar nicht mehr möglich sind.
      Dafür arbeiten Google, Microsoft, ARM und Red Hat mit dem Rust-Entwickler Miguel Ojeda zusammen.
      Wie man es von Google Project Zero kennt, lassen die ihre Fuzzing Tools auf den Kernel los und entdecken so auch viele potentielle Schwachstellen, bevor sie Hacker ausnutzen.
      Das wird Linux noch weiter härten.

      • 1ST1 sagt:

        "Das gute an Linux ist, dass es innerhalb von Stunden nach der Entdeckung bzw nach der Meldung Sicherheitsupdates gibt"

        Dazu müssen die Lücken aber auch erstmal "offiziell" entdeckt werden. Wenn eine Lücke bekannt ist, geht es ja sowohl unter Linux als auch Windows meistens recht schnell. Aber oft braucht es halt sehr lange, bis eine Lücke als solche erkannt wird, und da ist Linux keinen Millimeter besser! Das hier war 12 Jahre (!!!) offen, wurde erst vor 6 Tagen geschlossen:

        https://thehackernews.com/2022/01/12-year-old-polkit-flaw-lets.html

        Und jetzt frage ich dich, wieviele ungepatchte (Netzwerk-)Dinger da draußen unter Linux laufen wo niemals mehr dieses Update rein kommt.

        • Niels sagt:

          Wie viele Windows "Dinger" gibt es wo noch SMBv1 aktiv ist?

          Linux "Dinger" haben meist gar kein Samba aktiv, du pauschalisiert hier wie immer per definition einfach nur gegen Linux.

          Niemand streitet ab das es unter Linux Lücken gibt, gibts wohl unter jedem System…

          • 1ST1 sagt:

            Mein VDSL-Router hat schon ein paar Jährchen auf dem Buckel, und es ist ein großer USB-Stick per SMB freigegeben, interessanterweise ist der Stick sogar von Windows 2000 erreichbar… Welche SMB-Version mag der denn dann wohl auch unterstützen…? Der hat schon lange kein Update mehr gesehen. Aber warum soll ich den tauschen, von Außen alles dicht, und er liefert die geforderten 100 MBit an der VDSL-Leitung (sogar noch ein bischen mehr).

          • Niels sagt:

            Und du möchtest mir sagen das die Linux Community dafür verantwortlich ist das der Hersteller deines VDSL Routers keine Updates bereitstellt?

            Aha, da haben wir es, Microsoft ist dafür verantwortlich das es haufenweise Clientanwendungen gibt die noch heute nur per SMBv1 auf ihre Daten auf gemappten Serverlaufwerken zugreifen. Sie schaffen es zwar schon nicht ihre eigenen Produkte gut zu supporten, aber warum nicht mit billiger Polemik pauschalisiert draufhauen

      • T Sommer sagt:

        Nach dem KISS Prinzip müsste man unter linux alle Quellen selber übersetzen um ganz sicher zu sein.

        SAmba kommt in den letzten Jahren irgendwie auch nicht so richtig vom Fleck. Das fängt bei den AD Forest Leveln an und zieht sich durch die konfig als AD durch. Das dürfte auch am fehlen der Mittel für die Entwicklung liegen. Server GPO für die Domain – bsp für Passwort Richtlinien Fehlanzeige. Das wird auf der commandozeile mit ein super langen Befehl gesetzt.

        Ob Google, ms und arm linux „härter" macht glaube ich auch nicht.

        • 1ST1 sagt:

          "Nach dem KISS Prinzip müsste man unter linux alle Quellen selber übersetzen um ganz sicher zu sein. "

          Aber auch nur wenn du das durch den selbst komplierten Compiler jagst.

  2. Bernd sagt:

    Linux ist genauso unsicher wie alles andere. Die Illusion "Open Source" und Sicherheit sind schon länger vorbei. Ich bin mal gespannt wann die Datenschutzfreds das auch kapieren ;)

  3. Willy B. sagt:

    Ah, gerade das Samba-Update bekommen. Bei Windows müsste ich mindestens bis zum nächsten oder x-ten Patchday warten.

  4. weingeist sagt:

    VFS-Modul vfs_fruit
    Hat das überhaupt wer am laufen ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.