Debian セキュリティ勧告

DSA-2966-1 samba -- セキュリティ更新

報告日時:
2014-06-23
影響を受けるパッケージ:
samba
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-0178, CVE-2014-0244, CVE-2014-3493.
詳細:

SMB/CIFS ファイル、印刷、ログインサーバ Samba に脆弱性が複数発見、修正されました:

  • CVE-2014-0178

    VFSコードに情報漏洩の脆弱性があり、シャドウコピーが有効になっている場合に、 認証済みユーザが初期化されていない8バイトのメモリ取得を許します。

  • CVE-2014-0244

    nmbd Netbios 名前サービスデーモンにサービス拒否 (CPUの無限ループ) があります。異常なパケットにより nmbd サーバを無限ループに陥らせ、Netbios 名前サービスへの以後のリクエストを処理させなくする可能性があります。

  • CVE-2014-3493

    smbd ファイルサーバデーモンにサービス拒否 (デーモンのクラッシュ) があります。 非ユニコードのリクエストでユニコードのパスを読み取ろうとした認証済みユーザが 不正なアドレスにあるメモリの上書きをデーモンに強制することが可能です。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2:3.6.6-6+deb7u4 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 2:4.1.9+dfsg-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2:4.1.9+dfsg-1 で修正されています。

直ちに samba パッケージをアップグレードすることを勧めます。