Рекомендация Debian по безопасности

DSA-3983-1 samba -- обновление безопасности

Дата сообщения:
22.09.2017
Затронутые пакеты:
samba
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2017-12150, CVE-2017-12151, CVE-2017-12163.
Более подробная информация:

В Samba, файловом сервере, сервере печати и аутентификации SMB/CIFS для Unix, были обнаружены многочисленные уязвимости:

  • CVE-2017-12150

    Штефан Мецмахер обнаружил многочисленные ветви кода, где подписывание SMB не используется в обязательном порядке.

  • CVE-2017-12151

    Штефан Мецмахер обнаружил, что инструменты, использующие libsmbclient, не используют шифрование в обязательном порядке при переходе по DFS-перенаправлениям, что может позволить злоумышленнику, выполняющему атаку по принципу человек-в-середине, считывать или изменять соединения, которые в противном случае должны были бы быть зашифрованы.

  • CVE-2017-12163

    Ихань Лянь и Чжибинь Ху обнаружили, что недостаточная проверка границ массива в коде обработки запросов на запись SMB1 может приводить к раскрытию содержимого памяти сервера.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 2:4.2.14+dfsg-0+deb8u8.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 2:4.5.8+dfsg-2+deb9u2.

Рекомендуется обновить пакеты samba.