Säkerhetsbulletin från Debian

DSA-2617-1 samba -- flera problem

Rapporterat den:
2013-02-02
Berörda paket:
samba
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-0213, CVE-2013-0214.
Ytterligare information:

Jann Horn har rapporterat två sårbarheter i Samba, en populär programsamling för nätverksdelning av filer och skrivare. Sårbarheterna påverkar speciellt SWAT, Samba Web Administration Tool.

  • CVE-2013-0213: Clickjacking-problem i SWAT

    En angripare kan integrera en SWAT-sida i en ondsint webbsida via en frame eller iframe som sedan täcks av annat innehåll. Om en auktoriserad användare interagerar med denna ondsinta webbsida så kan denna göra oavsiktliga ändringar i Samba-inställningarna.

  • CVE-2013-0214: Potentiell förfalskning av förfragningar över flera webbplatser

    En angripare kan övertala en giltig SWAT-användare, som är inloggad som root, att klicka på en illasinnad länk och trigga opålitliga oavsiktliga förändringar i Samba-inställningarna. För att vara sårbar måste angriparen känna till offrets lösenord.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 2:3.5.6~dfsg-3squeeze9.

För uttestningsutgåvan (Wheezy) har dessa problem rättats i version 2:3.6.6-5.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2:3.6.6-5.

Vi rekommenderar att ni uppgraderar era samba-paket.