Информация по безопасности / 2016 / Информация о безопасности -- DSA-3548-1 samba

Рекомендация Debian по безопасности

DSA-3548-1 samba -- обновление безопасности

Дата сообщения:

13.04.2016

Затронутые пакеты:

samba

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-5370, CVE-2016-2110, CVE-2016-2111, CVE-2016-2112, CVE-2016-2113, CVE-2016-2114, CVE-2016-2115, CVE-2016-2118.

Более подробная информация:

В Samba, файловом сервере, сервере печати и аутентификации SMB/CIFS для Unix, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2015-5370

  Йоуни Кнуутинен из Synopsys обнаружил уязвимости в коде DCE-RPC, которые могут приводить к отказу в обслуживании (аварийные завершения работы и чрезмерное потребление ресурсов ЦП) и атакам по принципу человек-в-середине.

• CVE-2016-2110

  Штефан Метцмахер из SerNet и команда Samba обнаружили, что согласование опций NTLMSSP не защищает от атак по снижению безопасности.

• CVE-2016-2111

  Если Samba настроена на использование в качестве контроллера домена, то она позволяет удалённым злоумышленника подделать компьютерное имя оконечного устройства безопасного канала, а также получить чувствительную информацию о сессии. Эта уязвимость соответствует той же уязвимости, что и CVE-2015-0005 для Windows, обнаруженной Альберто Солино из Core Security.

• CVE-2016-2112

  Штефан Метцмахер из SerNet и команда Samba обнаружили, что злоумышленник, выполняющий атаку по принципу человек-в-середине, может снизить версию протокола LDAP-соединений для предотвращения использования защиты целостности.

• CVE-2016-2113

  Штефан Метцмахер из SerNet и команда Samba обнаружили, что на клиентскую часть, инициирующую соединения LDAP и ncacn_http, можно осуществлять атаки по принципу человек-в-середине.

• CVE-2016-2114

  Штефан Метцмахер из SerNet и команда Samba обнаружили, что Samba не требует использования необходимого подписывания smb даже в случае, когда это явно требуется настройками.

• CVE-2016-2115

  Штефан Метцмахер из SerNet и команда Samba обнаружили, что в SMB-соединениях для трафика IPC отсутствует защита целостности данных.

• CVE-2016-2118

  Штефан Метцмахер из SerNet и команда Samba обнаружили, что злоумышленник, выполняющий атаку по принципу человек-в-середине, может перехватывать любой DCERPC-трафик между клиентом и сервером с целью выдать себя за клиента и получить те же права доступа, что и аутентифицированный пользователь.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2:3.6.6-6+deb7u9. Предыдущий стабильный выпуск не подвержен CVE-2016-2113 и CVE-2016-2114.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 2:4.2.10+dfsg-0+deb8u1. Указанные проблемы были решены путём обновления до новой версии из основной ветки разработки, 4.2.10, которая также включает в себя другие изменения и исправления ошибок. Зависимые библиотеки ldb, talloc, tdb и tevent, тоже требуется обновить до новых версий из основной ветки разработки.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2:4.3.7+dfsg-1.

За дополнительной информацией обращайтесь к

• https://www.samba.org/samba/latest_news.html#4.4.2
• https://www.samba.org/samba/history/samba-4.2.0.html
• https://www.samba.org/samba/history/samba-4.2.10.html

(в частности, для получения информации о новых опциях и настройках по умолчанию).

Хотелось бы поблагодарить Андреаса Шнайдера и Гюнтера Дешнера (Red Hat), Штефана Метцмахера и Ральфа Бёме (SerNet) и Аутериена Аптэля (SUSE) за серьёзную работу по обратному переносу исправлений в Samba 3.6 и Samba 4.2, а также Эндрю Бартета (Catalyst), Джелмера Вернойя и Матьё Парена за их помощь в подготовке обновлений Samba и библиотек для используемой ею инфраструктуры.

Рекомендуется обновить пакеты samba.