Bulletin d'alerte Debian
DSA-3816-1 samba -- Mise à jour de sécurité
- Date du rapport :
- 23 mars 2017
- Paquets concernés :
- samba
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2017-2619.
- Plus de précisions :
-
Jann Horn de Google a découvert une situation de compétition entre la vérification et l'utilisation dans Samba, un serveur de fichiers, d'impression et de connexion SMB/CIFS pour Unix. Un client mal intentionné pourrait tirer avantage de ce défaut en exploitant une compétition de lien symbolique pour accéder à des zones du système de fichiers du serveur, alors qu'elles ne sont pas définies dans les partages.
Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 2:4.2.14+dfsg-0+deb8u4.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2:4.5.6+dfsg-2.
Nous vous recommandons de mettre à jour vos paquets samba.