Bulletin d'alerte Debian

DSA-2812-1 samba -- Plusieurs vulnérabilités

Date du rapport :
9 décembre 2013
Paquets concernés :
samba
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-4408, CVE-2013-4475.
Plus de précisions :

Deux problèmes de sécurité ont été découverts dans Samba, un serveur de fichiers SMB/CIFS, d'impression et d'identification :

  • CVE-2013-4408

    Plusieurs dépassements de tampon dans le traitement de paquets DCE-RPC pourraient conduire à l'exécution de code arbitraire.

  • CVE-2013-4475

    Hemanth Thummala a découvert que les ACL n'étaient pas vérifiés lors de l'ouverture de fichiers avec des flux de données alternatifs. Ce problème est seulement exploitable si les modules VFS vfs_streams_depot et/ou vfs_streams_xattr sont utilisés.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.5.6~dfsg-3squeeze11.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.6-6+deb7u2.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets samba.