Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2812-1 samba

Bulletin d'alerte Debian

DSA-2812-1 samba -- Plusieurs vulnérabilités

Date du rapport :

9 décembre 2013

Paquets concernés :

samba

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-4408, CVE-2013-4475.

Plus de précisions :

Deux problèmes de sécurité ont été découverts dans Samba, un serveur de fichiers SMB/CIFS, d'impression et d'identification :

• CVE-2013-4408

  Plusieurs dépassements de tampon dans le traitement de paquets DCE-RPC pourraient conduire à l'exécution de code arbitraire.

• CVE-2013-4475

  Hemanth Thummala a découvert que les ACL n'étaient pas vérifiés lors de l'ouverture de fichiers avec des flux de données alternatifs. Ce problème est seulement exploitable si les modules VFS vfs_streams_depot et/ou vfs_streams_xattr sont utilisés.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.5.6~dfsg-3squeeze11.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.6-6+deb7u2.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets samba.