Рекомендация Debian по безопасности

DSA-2617-1 samba -- несколько проблем

Дата сообщения:
02.02.2013
Затронутые пакеты:
samba
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-0213, CVE-2013-0214.
Более подробная информация:

Джэн Хорн сообщил о двух уязвимостях в Samba, популярном кроссплатформенном наборе для обеспечения совместного доступа в файлам и принтерам по сети. В частности, эти уязвимости вляют на SWAT, Samba Web Administration Tool (инструмент настройки Samba через веб).

  • CVE-2013-0213: Проблема с кликджекингом в SWAT

    Атакующий может добавить страницу SWAT на вредоносный сайт через frame или iframe, а затем перекрыть его другим содержимым. Если авторизованный пользователь взаимодействует с такое вредоносной веб-страницей, он может осуществить ненамеренные изменения настроек Samba.

  • CVE-2013-0214: Потенциальная подделка межсайтовых запросов

    Атакующий может заставить пользователя SWAT, который защёл в систему как суперпользователь, нажать на вредоносную ссылку и внести ненамеренные изменения в настройки Samba. Для того, чтобы осуществить это, атакующему необходимо значть пароль жертвы.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2:3.5.6~dfsg-3squeeze9.

В тестируемом выпуске (wheezy) эти проблемы были исправлены в версии 2:3.6.6-5.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2:3.6.6-5.

Рекомендуется обновить пакеты samba.