Säkerhetsbulletin från Debian
DSA-2617-1 samba -- flera problem
- Rapporterat den:
- 2013-02-02
- Berörda paket:
- samba
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2013-0213, CVE-2013-0214.
- Ytterligare information:
-
Jann Horn har rapporterat två sårbarheter i Samba, en populär programsamling för nätverksdelning av filer och skrivare. Sårbarheterna påverkar speciellt SWAT, Samba Web Administration Tool.
-
CVE-2013-0213:
Clickjacking-problem i SWAT
En angripare kan integrera en SWAT-sida i en ondsint webbsida via en frame eller iframe som sedan täcks av annat innehåll. Om en auktoriserad användare interagerar med denna ondsinta webbsida så kan denna göra oavsiktliga ändringar i Samba-inställningarna.
-
CVE-2013-0214:
Potentiell förfalskning av förfragningar över flera webbplatser
En angripare kan övertala en giltig SWAT-användare, som är inloggad som root, att klicka på en illasinnad länk och trigga opålitliga oavsiktliga förändringar i Samba-inställningarna. För att vara sårbar måste angriparen känna till offrets lösenord.
För den stabila utgåvan (Squeeze) har dessa problem rättats i version 2:3.5.6~dfsg-3squeeze9.
För uttestningsutgåvan (Wheezy) har dessa problem rättats i version 2:3.6.6-5.
För den instabila utgåvan (Sid) har dessa problem rättats i version 2:3.6.6-5.
Vi rekommenderar att ni uppgraderar era samba-paket.
-
CVE-2013-0213:
Clickjacking-problem i SWAT