Bulletin d'alerte Debian

DSA-2617-1 samba -- Plusieurs problèmes

Date du rapport :
2 février 2013
Paquets concernés :
samba
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-0213, CVE-2013-0214.
Plus de précisions :

Jann Horn a signalé deux vulnérabilités dans Samba, un ensemble de partage de fichiers et d'imprimantes en réseau populaire et multiplateforme. En particulier, ces vulnérabilités concernent le SWAT, l'outil d'administration web de Samba.

  • CVE-2013-0213 : problème de détournement de clic dans SWAT

    Un attaquant peut intégrer une page SWAT dans une page web malveillante à l'aide d'une trame ou iframe et ensuite la masquer avec un autre contenu. Si un utilisateur authentifié valable interagit avec cette page web malveillante, il pourrait réaliser des modifications involontaires dans les réglages de Samba.

  • CVE-2013-0214 : potentielle contrefaçon de requête intersite

    Un attaquant peut persuader un utilisateur valable de SWAT, connecté en tant que superutilisateur, de cliquer sur un lien malveillant et déclencher des modifications arbitraires involontaires dans les réglages de Samba. Pour être vulnérable, l'attaquant doit connaître le mot de passe de la victime.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2:3.5.6~dfsg-3squeeze9.

Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 2:3.6.6-5.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2:3.6.6-5.

Nous vous recommandons de mettre à jour vos paquets samba.