Debians sikkerhedsbulletin

DSA-2617-1 samba -- flere problemer

Rapporteret den:
2. feb 2013
Berørte pakker:
samba
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-0213, CVE-2013-0214.
Yderligere oplysninger:

Jann Horn rapporterede om to sårbarheder i Samba, en populære programsamling der virker på tværs af platforme til deling af filer og printere. Sårbarhederne påvirker i særdeleshed SWAT, Samba Web Administration Tool.

  • CVE-2013-0213: Clickjacking-problem i SWAT

    En angriber kunne integrere en SWAT-side i en ondsindet webside via en frame eller iframe og dernæst lade andet indhold ligge ind over den. Hvis en autentificeret gyldig bruger tilgik den ondsindede side, kunne vedkommende utilstigtet måske udføre ændringer af Sambas indstillinger.

  • CVE-2013-0214: Potentiel forespørgselsforfalskning på tværs af websteder

    En angriber kunne overtale en gyldig SWAT-bruger, der er logget ind som root, til at klikke på et ondsindet link og udløse vilkårlige utilsigtede ændringer af Sambas indstillinger. For at være sårbar, skal angriberen kende offerets adgangskode.

I den stabile distribution (squeeze), er disse problemer rettet i version 2:3.5.6~dfsg-3squeeze9.

I distributionen testing (wheezy), er disse problemer rettet i version 2:3.6.6-5.

I den ustabile distribution (sid), er disse problemer rettet i version 2:3.6.6-5.

Vi anbefaler at du opgraderer dine samba-pakker.