Debians sikkerhedsbulletin

DLA-379-1 samba -- LTS-sikkerhedsopdatering

Rapporteret den:
3. jan 2016
Berørte pakker:
samba
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-5252, CVE-2015-5296, CVE-2015-5299.
Yderligere oplysninger:

Flere sårbarheder blev fundet i Samba, en SMB-/CIFS-implementering, som leverer en fil-, print- og loginserver.

  • CVE-2015-5252

    Jan Yenya Kasprzak og Computer Systems Unit-holdet ved Faculty of Informatics, Masaryk University, rapporterede at samba på ukorrekt vis kontrollerede symlinks, gørende det muligt at tilgå ressourcer uden for den delte sti, under visse omstændigheder.

  • CVE-2015-5296

    Stefan Metzmacher fra SerNet og Samba Team opdagede at samba ikke sikrede at signering blev forhandlet når en klient etablerede en krypteret forbindelse mod en samba-server.

  • CVE-2015-5299

    Samba var sårbar over for et manglende adgangskontroltjek i VFS-modulet shadow_copy2, hvilket kunne gøre det muligt for uautoriserede brugere at tilgå snapshots.

I Debian 6 Squeeze, er dette problem rettet i samba version 2:3.5.6~dfsg-3squeeze13. Vi anbefaler at du opgraderer dine samba-pakker.