Am 8. Juli 2025 veröffentlichte Microsoft KB 5062572 (anwendbar auf Windows Server 2008 R2 bis 2022 Domänencontroller), um CVE‑2025‑49716 zu beheben und die Zugriffsüberprüfung in Netlogon RPC zu verbessern.
Potentiell betroffene Umgebungen: Samba-Server, die der AD beigetreten sind und bestimmte Backends wie idmap_ad verwenden, können nach dem Update Authentifizierungs- oder Identitätszuordnungsfehler erleben.
QNAP NAS-Status: QNAP NAS-Systeme mit Standardkonfigurationen sind von dieser Änderung nicht betroffen und das Update kann gefahrlos installiert werden.
Wichtiger Hinweis: Nutzer, die eine nicht standardmäßige Konfiguration verwenden (wie idmap=ad), sind wahrscheinlich betroffen und sollten ihre Samba-Einstellungen überprüfen oder vor dem weiteren Vorgehen IT-Administratoren konsultieren.
Weitere Informationen finden Sie in der offiziellen Microsoft-Dokumentation:
Tatsächlich sind wir betroffen, oder zumindest können seit letztem Dienstag, dem 17., Benutzer nicht mehr auf Freigaben zugreifen. Wir verwenden „ad“ als idmap anstelle von RID.
Der im Log sichtbare Fehler ist:
RPC fault code DCERPC_FAULT_ACCESS_DENIED vom Host myDC.mysite.it empfangen
Unser NAS ist:
Modell = TS-X32U
Internes Modell = TS-X32U
Server-Kommentar =
Version = 5.2.5
Build-Nummer = 20250623
Nummer = 3173
es tut mir leid, dass Sie Probleme mit Ihrem NAS haben. In der Regel sind QNAP NAS-Systeme, die mit der Standardeinstellung idmap=rid für die Active Directory-Integration konfiguriert sind, nicht von Microsofts KB 5062572-Update (veröffentlicht am 8. Juli 2025) betroffen, das CVE-2025-49716 adressiert. Da Ihr TS-X32U mit QTS 5.2.5 (Build 20250623) jedoch die Einstellung idmap=ad innerhalb einer Samba-Konfiguration verwendet, scheint es betroffen zu sein, was mit Microsofts Empfehlung übereinstimmt.
Dieses Update erhöht die Sicherheit, indem strengere Zugriffskontrollen für bestimmte Netlogon RPC-Anfragen durchgesetzt werden. Dadurch kann der Fehler „RPC fault code DCERPC_FAULT_ACCESS_DENIED“ sowie die von Ihnen seit dem 17. Juli festgestellten Zugriffsprobleme ausgelöst werden.
Da dieses Problem auf die aktualisierte Sicherheitsrichtlinie von Microsoft zurückzuführen ist, müssen Sie möglicherweise Ihre Samba-Konfiguration anpassen oder sich an IT-Administratoren wenden, die mit der AD-Integration vertraut sind, um geeignete Lösungen zu finden.
Vielen Dank, dass Sie auf das Problem mit idmap=ad hingewiesen haben – diese Information ist auch für andere mit ähnlichen Konfigurationen sehr wertvoll.
Tim, vielen Dank für deine freundliche Antwort. Tatsächlich verwalte ich auch die AD-Infrastruktur, die alle Systeme unserer Universität bedient, und ich kann den MS-Patch nicht zurücksetzen, um das QNAP wieder zum Laufen zu bringen, was laut Microsoft-Seite die einzige Option wäre.
Ich vermute, sobald die SMB-Leute einen funktionierenden Patch bereitstellen, sollte dieser auch für eure Systeme veröffentlicht werden. Übrigens scheint seltsamerweise ein anderes altes QNAP mit einer älteren Samba-Version (4.4.16) nicht betroffen zu sein, im Gegensatz zu diesem hier (4.15.13).
Wir sind ebenfalls von dem jüngsten Microsoft-Update betroffen – wenn man sich anschaut, wie Samba auf dem QNAP funktioniert bzw. installiert ist, scheint es möglich zu sein, die Samba-Version auf eine Version zu aktualisieren, die den Fix enthält.
Ich hoffe, dass dies jetzt sogar noch einfacher ist, da Samba als App bereitgestellt wird!
Lieber TimL, wäre es möglich, eine neue Firmware oder zumindest die gepatchte Version von winbind bezüglich dieses Problems bereitzustellen? Zwei Monate sind vergangen und unsere Nutzer können immer noch nicht auf ihre Dateien zugreifen. Ich stehe für jegliche Tests zur Verfügung, falls Sie diese benötigen.
Danke
Hallo, da die betroffene Nutzung über unser vorgesehenes Szenario hinausgeht, prüfen wir derzeit eine Patch-Lösung. Bitte geben Sie uns etwas Zeit, um einen Patch zu evaluieren, der keine Nebenwirkungen auf das Standardszenario hat.
Lieber TimL, nach Monaten seit meinem ursprünglichen Beitrag sehe ich, dass das Problem mit dieser CVE immer noch nicht behoben wurde, obwohl andere Firmware-Updates veröffentlicht wurden.
Auch wenn wir das QNAP aufgrund dieses Fehlers außer Betrieb nehmen mussten – es wurde unbrauchbar –, gibt es einen Plan, den Samba-Dienst auf dem QNAP zu patchen?