daily.out

2010-02-08

Gedanken zur Samba-Lücke

Samba ermöglicht Windows-Rechnern den Zugriff auf Verzeichnisse in OS X und jedem anderen Unix oder unix-ähnlichem Betriebssystem. In diesen Tagen wurde ein Konfigurations-Problem in Samba entdeckt und auf YouTube vorgeführt. Wie kritisch ist dies?

Das Problem ist, daß ein Samba-Benutzer mittels eines selbstangelegten symbolischen Links, der aus einem freigegebenen Verzeichnis auf die Wurzel des Dateisystems, also auf ganz "oben" verweist, nicht nur die freigegebenen Verzeichnissen, sondern auch alle anderen Verzeichnisse erreichen kann. Das ganze jeweils mit den Rechten des (Samba-) Benutzers, als der man angemeldet ist.

Ein symbolischer Link ist eine Art Unix-"Alias", so ähnlich wie man ihn von OS X und dem klassischem Mac OS kennt.

Jetzt kommt der entscheidende Unterschied: Auf OS X kann man sich (zumindest bis 10.5) nicht anonym per Samba anmelden:

Mac OS X: Setting up Windows File Sharing

… Users connecting to Windows Sharing must have user accounts on the Mac OS X computer that is sharing. There is no guest access.…

Man kann sich nur als einer der definierten OS X-Benutzer per Samba verbinden. Allerdings hat dieser Benutzer bereits schon das Recht, Verzeichnisse außerhalb der von Samba zur Verfügung gestellten Bereiche zu lesen. Die Lücke ermöglicht also einem registriertem OS X-Benutzer, auch per Samba alle Verzeichnisse zu nutzen, auf die er auch direkt Zugriff hätte.

Bei anderen Unix-Systemen wird jedoch auch anonymen Benutzern der Samba-Zugriff erlaubt. Diese sollten natürlich nicht mehr sehen können, als die ihnen zugedachten öffentlichen Samba-Verzeichnisse.

Als weiter abmildernder Aspekt kommt hinzu, daß auf OS X Samba per Standard-Einstellung deaktiv ist: Man muß den Samba-Zugriff für jeden einzelnen Benutzer separat einschalten.

Allerdings ist der Ausbruchs-Effekt von Samba nicht gewünscht und das Entwicklungs-Team erklärte, daß es die Konfiguration in der kommenden Version so einstellen wird, daß dieser Ausbruch nicht mehr möglich ist.

Nachtrag 2010-02-09

Die obigen Aussagen waren gemäß der System-Dokumentation. Beim Ausprobieren mit Vista und 10.6 konnte ich mich jedoch als Gast per Samba verbinden. Allerdings klappte die Verbindung als Benutzer, für den explizit Verzeichnisse für Samba freigegeben waren, seltsamerweise nicht. Also das Gegenteil von obiger Dokumentation, die allerdings von 2008 ist und 10.6 nicht berücksichtigt. Anscheinend verhält sich 10.6 etwas anders und hat eventuell hier noch einen Fehler. Damit würde sich der Samba-Fehler genauso auswirken wie bei den anderen Unix-Systemen: Ein Gast kann über Samba nicht nur die freigegebenen Verzeichnisse, sondern auch andere Verzeichnisse, die dem Benutzer nobody (entspricht "alle/jeder/andere") erlaubt sind, begehen. Nicht tragisch, da dieser Benutzer nicht viel machen kann, aber dennoch unschön.

Valid XHTML 1.0!

Besucherzähler

Latest Update: 11. September 2015 at 19:49h (german time)
Link: www.macmark.de/blog/osx_blog_2010-02.php