Bulletin d'alerte Debian

DSA-4043-1 samba -- Mise à jour de sécurité

Date du rapport :
21 novembre 2017
Paquets concernés :
samba
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2017-14746, CVE-2017-15275.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Samba, un serveur SMB/CIFS de fichiers, d'impression et de connexion pour UNIX. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2017-14746

    Yihan Lian et Zhibin Hu de Qihoo 360 GearTeam ont découvert une vulnérabilité d'utilisation de mémoire après libération permettant à un client de compromettre un serveur SMB grâce à des requêtes SMB1 malveillantes.

  • CVE-2017-15275

    Volker Lendecke de SerNet et l'équipe de Samba ont découvert que Samba est prédisposé à une fuite d'informations de la mémoire de tas, où la mémoire de tas allouée par le serveur peut être renvoyée au client sans avoir été nettoyée.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 2:4.2.14+dfsg-0+deb8u9.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2:4.5.12+dfsg-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets samba.

Pour disposer d'un état détaillé sur la sécurité de samba, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/samba