„`html
Zusammenfassung
CVE-2026-44051 beschreibt eine kritische Schwachstelle in Netatalk, die durch unsachgemäße Symlink-Auflösung zu Dateioffenlegung und Dateimanipulation führt. Authentifizierte Angreifer können über die Erstellung kontrollierter symbolischer Links auf beliebige Dateien zugreifen oder diese überschreiben. Mit einem CVSS-Score von 8.1 stellt diese Vulnerabilität eine ernsthafte Bedrohung dar.
Betroffene Systeme
Die Schwachstelle betrifft Netatalk-Versionen von 3.0.2 bis 4.4.2. Das Apple Filing Protocol (AFP) wird häufig in heterogenen Netzwerken eingesetzt, insbesondere bei macOS-Umgebungen und NAS-Systemen. Systeme mit Netatalk-Installation und aktiviertem AFP-Dienst sind gefährdet, falls Benutzer Schreibzugriff auf freigegebene Verzeichnisse haben.
Technische Details
Die Vulnerability liegt in der unzureichenden Validierung von Symlink-Zielen durch Netatalk. Ein authentifizierter Angreifer kann symbolische Links erstellen, die auf Dateien außerhalb des freigegebenen Verzeichnisses verweisen. Durch Time-of-Check-Time-of-Use (TOCTOU)-Bedingungen kann der AFP-Daemon diese Links auflösen und auf geschützte Systemdateien zugreifen.
Der Angriffsablauf: Angreifer erstellt einen Symlink zu sensiblen Dateien (z.B. /etc/shadow), den AFP-Dienst löst die Verknüpfung auf, und der Angreifer erhält Lesezugriff. Ebenso können Dateien durch Überschreiben modifiziert werden, was zu Privilege Escalation führen kann.
Empfohlene Massnahmen
Sofortmassnahmen:
- Netatalk-Dienst deaktivieren oder auf eine gepatchte Version warten
- Dateisystem-Berechtigungen restriktiv konfigurieren
- Zugriff nur für vertrauenswürdige Benutzer erlauben
Monitoring: Symlink-Erstellungen in AFP-Shares protokollieren und verdächtige Zugriffsmuster überwachen.
Bewertung
Ohne verfügbaren Patch sollte die Aktivierung von Netatalk dringend überdacht werden. Organisationen mit AFP-Diensten müssen umgehend Containment-Strategien implementieren und auf Sicherheitsadvisories achten.
„`