„`html
Zusammenfassung
Die Sicherheitslücke CVE-2026-44052 betrifft Netatalk in den Versionen 2.1.0 bis 4.4.2 und führt zur Offenlegung von LDAP-Authentifizierungsdaten. Das Protokoll speichert Simple-Bind-Passwörter im Klartext in Log-Dateien, wodurch ein lokaler Angreifer mit Dateizugriff die Zugangsdaten kompromittieren kann. Mit einem CVSS-Score von 7.5 liegt eine hohe Schweregrad vor.
Betroffene Systeme
Betroffen sind alle Netatalk-Instanzen der Versionen 2.1.0 bis 4.4.2. Das Network File Sharing Protokoll wird häufig in Umgebungen mit macOS-Integration und LDAP-basierter Authentifizierung eingesetzt. Linux-Server und NAS-Systeme mit Netatalk zur Samba-Alternative sind ebenfalls gefährdet.
Technische Details
Netatalk loggt bei LDAP-Authentifizierung die vollständige Simple-Bind-Anfrage inklusive Passwort-Informationen. Die betroffene Funktion protokolliert Debug-Meldungen ohne Filterung sensibler Daten. Angreifer mit Zugriff auf Logdateien (z.B. /var/log/netatalk/) können diese auslesen und LDAP-Credentials extrahieren. Dies ermöglicht nachgelagerte Angriffe auf das Verzeichnisdienst-System oder laterale Bewegung im Netzwerk.
Empfohlene Massnahmen
Sofortmassnahmen:
- Logdatei-Berechtigungen auf minimalen Kreis beschränken
- Existierende Logs auf kompromittierte Passwörter überprüfen und LDAP-Passwörter zurücksetzen
- LDAP-Konten monitoren auf unautorisierten Zugriff
Langfristige Lösung: Ein Patch ist derzeit nicht verfügbar. Workaround: Log-Level auf non-DEBUG reduzieren und Syslog-Filter implementieren, um Passwort-String zu maskieren. Migration zu aktuellen Alternativen erwägen.
Bewertung
Die Lücke erfordert sofortiges Handeln. Ohne verfügbaren Patch liegt die Verantwortung bei Administratoren. In LDAP-integrierten Umgebungen ist das Risiko erhöht. Priorisieren Sie das Audit von Log-Zugriffen und Passwort-Rotation in betroffenen Instanzen.
„`