„`html
Zusammenfassung
In Netatalk, einem weit verbreiteten Open-Source-Dateifreigagedienst für macOS und Unix-Systeme, wurde eine kritische Schwachstelle in der DHCAST128 User Authentication Method (UAM) entdeckt. Die betroffenen Versionen 1.5.0 bis 4.2.2 verwenden einen kryptographisch schwachen Algorithmus, der es Remote-Angreifern ermöglicht, Authentifizierungsdaten zu kompromittieren oder sich als legitime Benutzer auszugeben.
Betroffene Systeme
Die Schwachstelle betrifft folgende Komponenten:
- Netatalk Versionen 1.5.0 bis 4.2.2
- macOS-Systeme mit aktiviertem AFP (Apple Filing Protocol)
- Unix/Linux-Systeme mit Netatalk-Installation
- Legacy-Systeme mit älteren Netatalk-Deployments
Technische Details
Die DHCAST128 UAM-Implementierung basiert auf einem veralteten Verschlüsselungsverfahren mit unzureichender Schlüssellänge und schwacher mathematischer Grundlage. Ein netzwerkgestützter Angreifer kann durch Kryptanalyse die während der Authentifizierung übertragenen Credentials dekodieren. Der Angriff setzt keine Authentifizierung voraus und ist vom Netzwerk aus möglich (CVSS-Vektor: CVSS:3.1/AV:N/AU:N).
Empfohlene Massnahmen
Sofortmassnahmen:
- AFP-Dienste deaktivieren, falls nicht zwingend erforderlich
- Netzwerk-Segmentierung implementieren, um AFP-Traffic zu isolieren
- Firewall-Regeln verschärfen: AFP-Port 548 nur für vertrauenswürdige Quellen freigeben
- Moderne UAM-Methoden (z.B. mit stärkerer Verschlüsselung) erzwingen
Langfristige Lösung:
Da kein Patch verfügbar ist, sollten Systembetreiber auf alternative Dateifreigabe-Protokolle (SMB/CIFS) migrieren oder Netatalk vollständig ablösen. Überprüfen Sie regelmäßig die Sicherheitsadvisories des Netatalk-Projekts auf künftige Updates.
Bewertung
Mit einem CVSS-Score von 7.4 und dem Fehlen eines verfügbaren Patches ist diese Schwachstelle kritisch. Die Kombination aus netzwerkgestütztem Angriffsvektor und unzureichender Authentifizierung erfordert sofortige Massnahmen. Systeme mit direktem Internetzugang sind besonders gefährdet.
„`