Debians sikkerhedsbulletin

DSA-3983-1 samba -- sikkerhedsopdatering

Rapporteret den:
22. sep 2017
Berørte pakker:
samba
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2017-12150, CVE-2017-12151, CVE-2017-12163.
Yderligere oplysninger:

Adskillige sikkerhedsproblemer er opdaget i Samba, en SMB-/CIFS-fil-, -print- og -loginserver til Unix:

  • CVE-2017-12150

    Stefan Metzmacher opdagede adskillige kodestier, hvor SMB-signering ikke blev håndhævet.

  • CVE-2017-12151

    Stefan Metzmacher opdagede at værktøjer, som anvender libsmbclient, ikke håndhævede kryptering, når der DFS-viderestillinger blev fulgt, hvilket kunne gøre det muligt for en manden i midten-angriber, at læse eller ændre forbindelse, som skulle have været krypteret.

  • CVE-2017-12163

    Yihan Lian og Zhibin Hu opdagede at utilstrækkelige grænsekontroller i behandlingen af SMB1-skrivningsforespørgsler, kunne medføre blotlæggelse af serverhukommelse.

I den gamle stabile distribution (jessie), er disse problemer rettet i version 2:4.2.14+dfsg-0+deb8u8.

I den stabile distribution (stretch), er disse problemer rettet i version 2:4.5.8+dfsg-2+deb9u2.

Vi anbefaler at du opgraderer dine samba-pakker.