Säkerhetsbulletin från Debian

DSA-3983-1 samba -- säkerhetsuppdatering

Rapporterat den:
2017-09-22
Berörda paket:
samba
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2017-12150, CVE-2017-12151, CVE-2017-12163.
Ytterligare information:

Flera säkerhetsproblem har upptäckts i Samba, en SMB/CIFS-fil-, utskrifts- och loginserver för Unix:

  • CVE-2017-12150

    Stefan Metzmacher upptäckte flera kodvägar där SMB-signering inte påtvingades.

  • CVE-2017-12151

    Stefan Metzmacher upptäckte att verktyg som använder libsmbclient inte påtvingar kryptering när de följer DFS-omdirigeringar, vilket kunde tillåta en man-in-the-middle-angripare att läsa eller modifiera anslutningar som är menade att vara krypterade.

  • CVE-2017-12163

    Yihan Lian och Zhibin Hu upptäckte att otillräckliga räckviddskontroller i behandlingen av SMB1-skrivförfrågningar kunde resultera i avslöjande av serverminne.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 2:4.2.14+dfsg-0+deb8u8.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 2:4.5.8+dfsg-2+deb9u2.

Vi rekommenderar att ni uppgraderar era samba-paket.