Bulletin d'alerte Debian
DSA-2812-1 samba -- Plusieurs vulnérabilités
- Date du rapport :
- 9 décembre 2013
- Paquets concernés :
- samba
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2013-4408, CVE-2013-4475.
- Plus de précisions :
-
Deux problèmes de sécurité ont été découverts dans Samba, un serveur de fichiers SMB/CIFS, d'impression et d'identification :
- CVE-2013-4408
Plusieurs dépassements de tampon dans le traitement de paquets DCE-RPC pourraient conduire à l'exécution de code arbitraire.
- CVE-2013-4475
Hemanth Thummala a découvert que les ACL n'étaient pas vérifiés lors de l'ouverture de fichiers avec des flux de données alternatifs. Ce problème est seulement exploitable si les modules VFS vfs_streams_depot et/ou vfs_streams_xattr sont utilisés.
Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 3.5.6~dfsg-3squeeze11.
Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.6-6+deb7u2.
Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.
Nous vous recommandons de mettre à jour vos paquets samba.
- CVE-2013-4408