Samba is een award-winnende gratis software file-, print-en authenticatie-server suite voor Windows-clients. Het project werd gestart door de Australische Andrew Tridgell.

Er is een ernstige kwetsbaarheid in de Samba open-source software ontdekt, die een aanvaller kan misbruiken om root rechten te krijgen, zonder enige vorm van authenticatie. De bug is in alle versies van Samba van 3.0.x naar 3.6.3 te vinden, maar is vastgesteld in Samba 3.6.4 (laatste stabiele release).

De kwetsbaarheid werd ontdekt door security-onderzoeker Brian Gorenc en een niet nader genoemde collega, die voor de Zero Day Initiative werkt. De fout, die zich in de code generator voor remote procedure call Samba's (RPC)-interface bevindt, maakt het mogelijk voor hackers om willekeurige code op de samba server uit te voeren.

Drie nieuwe security releases (Samba 3.4.16, Samba 3.5.14, Samba 3.6.4) voor de momenteel ondersteunde versies worden besproken op samba.org / samba / security . Patches tegen oudere Samba-versies zijn beschikbaar op samba.org / samba / patches.

Het grootste risico lopen de Linux-embedded systemen die gebruik maken van Samba. Veel van deze apparaat leveranciers patchen niet regelmatig hun systemen. Dit maakt dit beveiligingslek een aantrekkelijk doelwit voor exploit schrijvers, zowel voor de integratie in commerciële en gratis penetration testing tools zoals Metasploit, maar ook voor gebruik in kwaadaardige aanvallen!