Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-048-3 samba -- Symlink-Angriff

Datum des Berichts:

09. Mai 2001

Betroffene Pakete:

samba

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 2617.
In Mitres CVE-Verzeichnis: CVE-2001-0406.

Weitere Informationen:

Marcus Meissner hat herausgefunden, dass Samba temporäre Dateien an zwei Stellen nicht ordentlich anlegt:

• Wenn ein entfernter Benutzer eine Drucker-Warteschlange abgefragt hat, erstellt Samba eine temporäre Datei, in der die Daten der Warteschlange geschrieben werden. Dabei wurde ein vorhersagbarer Dateiname verwendet. Die Datei wurde zudem unsicher angelegt, so dass ein lokaler Angreifer Samba austricksen konnte und somit in der Lage war, willkürlich Dateien zu überschreiben.
• Die Befehle »more« und »mput« von smbclient haben ebenfalls temporäre Dateien unsicher in /tmp angelegt.

Beide Probleme wurden mit der Version 2.0.7-3.2 behoben. Wir empfehlen Ihnen, die Samba-Pakete unverzüglich zu aktualisieren. (Dieses Problem ist ebenfalls in der 2.2-Codebasis behoben.)

Beachten Sie: DSA 048-1 enthielt ein falsch kompiliertes Paket für die Sparc-Architektur, was in der zweiten Auflage behoben wurde.

Die dritte Auflage dieses Gutachtens wurde herausgegeben, da Marc Jacobsen von HP herausgefunden hat, dass die Problemlösung von Samba 2.0.8 das Problem des möglichen /tmp-Symlink-Angriffes nicht vollkommen eliminiert hat. Das Samba-Team hat die Version 2.0.9 herausgegeben, um dieses Problem zu beheben. Diese Korrekturen wurden zur Version 2.0.7-3.3 der Samba-Pakete von Debian hinzugefügt.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:

http://security.debian.org/dists/stable/updates/main/source/samba_2.0.7-3.3.diff.gz

http://security.debian.org/dists/stable/updates/main/source/samba_2.0.7-3.3.dsc

http://security.debian.org/dists/stable/updates/main/source/samba_2.0.7.orig.tar.gz

Architektur-unabhängige Dateien:

http://security.debian.org/dists/stable/updates/main/binary-all/samba-doc_2.0.7-3.3_all.deb

Alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/samba-common_2.0.7-3.3_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/samba_2.0.7-3.3_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/smbclient_2.0.7-3.3_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/smbfs_2.0.7-3.3_alpha.deb

http://security.debian.org/dists/stable/updates/main/binary-alpha/swat_2.0.7-3.3_alpha.deb

ARM:

http://security.debian.org/dists/stable/updates/main/binary-arm/samba-common_2.0.7-3.3_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/samba_2.0.7-3.3_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/smbclient_2.0.7-3.3_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/smbfs_2.0.7-3.3_arm.deb

http://security.debian.org/dists/stable/updates/main/binary-arm/swat_2.0.7-3.3_arm.deb

Intel IA-32:

http://security.debian.org/dists/stable/updates/main/binary-i386/samba-common_2.0.7-3.3_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/samba_2.0.7-3.3_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/smbclient_2.0.7-3.3_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/smbfs_2.0.7-3.3_i386.deb

http://security.debian.org/dists/stable/updates/main/binary-i386/swat_2.0.7-3.3_i386.deb

Motorola 680x0:

http://security.debian.org/dists/stable/updates/main/binary-m68k/samba-common_2.0.7-3.3_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/samba_2.0.7-3.3_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/smbclient_2.0.7-3.3_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/smbfs_2.0.7-3.3_m68k.deb

http://security.debian.org/dists/stable/updates/main/binary-m68k/swat_2.0.7-3.3_m68k.deb

PowerPC:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/samba-common_2.0.7-3.3_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/samba_2.0.7-3.3_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/smbclient_2.0.7-3.3_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/smbfs_2.0.7-3.3_powerpc.deb

http://security.debian.org/dists/stable/updates/main/binary-powerpc/swat_2.0.7-3.3_powerpc.deb

Sun Sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/samba-common_2.0.7-3.3_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/samba_2.0.7-3.3_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/smbclient_2.0.7-3.3_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/smbfs_2.0.7-3.3_sparc.deb

http://security.debian.org/dists/stable/updates/main/binary-sparc/swat_2.0.7-3.3_sparc.deb

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français 日本語 (Nihongo) svenska

Wie stellt man die Standardsprache ein