Das Samba-Team hat mit den Versionen 4.23.2, 4.22.5 und 4.21.9 eine schwerwiegende Sicherheitslücke (CVE-2025-10230, CVSS 10.0) geschlossen. Betroffen sind alle Samba-Versionen seit 4.0, wenn auf einem Domain Controller sowohl der WINS-Server aktiviert als auch der Parameter „wins hook“ gesetzt ist.
Durch fehlende Eingabevalidierung konnte ein Angreifer über manipulierte WINS-Namen beliebige Befehle auf dem Host ausführen – völlig ohne Authentifizierung. Nicht betroffen sind Samba-Server, die nicht als Domain Controller fungieren oder bei denen WINS-Unterstützung deaktiviert ist.
Administratoren sollten umgehend auf die bereitgestellten Sicherheitsversionen aktualisieren oder den Parameter „wins hook“ entfernen. Weitere Details und Patches stehen unter samba.org/security bereit.
