Sharp Zaurus SL-5500/SL-5600 auf 3.1 Samba Access Handler Fehlende Authentifizierung

VulDB: Sharp Zaurus SL-5500/SL-5600 auf 3.1 Samba Access Handler Fehlende Authentifizierung

Allgemein

scipID: 126
Betroffen: Sharp Zaurus SL-5500 und SL-5600 mit Flash-ROM-Version 3.1
Veröffentlicht: 25.06.2003 (Bjorn Tore Sund)
Risiko: kritisch
Eintrag: 86.8% komplett
Erstellt: 25.06.2003
Aktualisiert: 01.07.2003

Beschreibung

Sharp Zaurus ist ein beliebter PDA, der mit Linux als Betriebssystem ausgeliefert wird. Sobald das Gerät an die Docking-Station angeschlossen wird, startet es den internen Samba-Dienst. Dieser nimmt von da an sämtliche Anfragen auf allen zur Verfügung stehenden Netzwerk-Schnittstellen an. Dies geschieht gänzlich ohne irgendeine Authentifizierung des Benutzers. Ein Angreifer könnte so Daten ausspionieren oder manipulieren. Als Lösung wird empfohlen, Samba so zu konfigurieren, dass der Dienst nur an die USB-Schnittstelle gebunden wird oder beim Andocken alle anderen Netzwerk-Schnittstellen zu deaktivieren. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 8026) dokumentiert.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 11442 herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.

Diese Designschwäche wäre sehr einfach zu vermeiden gewesen, wenn spätestens während der Entwicklungs- und Test-Phase eine ausgiebige Überprüfung der Samba-Funktionalität durchgeführt worden wäre. Leider muss man auch hier Schlampigkeit der Entwickler nachsagen. Eine solche ist grundsätzlich unakzeptabel, denn dadurch könnte ein beachtlicher wirtschaftlicher oder persönlicher Schaden entstehen. Da das Problem nun bekannt ist, sollte man seine Rechnerkonfiguration überprüfen und gegebenenfalls anpassen, um nicht erwünschte Zugriffe zu verhindern.