Bulletin d'alerte Debian

DLA-379-1 samba -- Mise à jour de sécurité pour LTS

Date du rapport :
3 janvier 2016
Paquets concernés :
samba
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-5252, CVE-2015-5296, CVE-2015-5299.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Samba, une implémentation de SMB/CIFS qui fournit un serveur de fichiers, d'impression et d'authentification.

  • CVE-2015-5252

    Jan Yenya Kasprzak et l'équipe Computer Systems Unit de la Faculty of Informatics de l'université Masaryk ont découvert qu'une vérification insuffisante des liens symboliques par Samba pourrait permettre l'accès à des données en dehors d'un chemin partagé, dans certaines circonstances.

  • CVE-2015-5296

    Stefan Metzmacher de SerNet et l'équipe de Samba ont découvert que Samba n'assure pas que la signature a été négociée lorsqu'un client a établi une connexion client chiffrée à un serveur Samba.

  • CVE-2015-5299

    Samba était vulnérable à l'absence de vérification de contrôle d'accès dans le module shadow_copy2 de VFS qui pourrait permettre à des utilisateurs non autorisés d'accéder à des instantanés.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans samba version 2:3.5.6~dfsg-3squeeze13. Nous vous recommandons de mettre à jour vos paquets samba.