Sikkerhedsoplysninger / 2018 / Sikkerhedsoplysninger -- DSA-4135-1 samba

Debians sikkerhedsbulletin

DSA-4135-1 samba -- sikkerhedsopdatering

Rapporteret den:

13. mar 2018

Berørte pakker:

samba

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2018-1050, CVE-2018-1057.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Samba, en SMB/CIFS fil-, print- og loginserver til Unix. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2018-1050

  Man opdagede at Samba var sårbar over for et lammelsesangreb når RPC-spoolss-servicen er opsat til at køre som en ekstern dæmon.

  https://www.samba.org/samba/security/CVE-2018-1050.html

• CVE-2018-1057

  Bjoern Baumbach fra Sernet opdagede, at på Samba 4 AD DC, validerede LDAP-serveren på ukorrekt vis tilladelser til at ændre adgangskoder over LDAP, hvilket gjorde det muligt for autentificerede brugere at ændre enhver anden brugers adgangskode, herunder administrative brugeres.

  https://www.samba.org/samba/security/CVE-2018-1057.html

  https://wiki.samba.org/index.php/CVE-2018-1057

I den gamle stabile distribution (jessie), vil CVE-2018-1050 blive løst i en senere opdatering. Desværre er de nødvendige ændringer til at rette CVE-2018-1057 i Debians gamle stabile distribution, for invasive til at blive tilbageført. Brugere, der anvender Samba som en AD-kompatibel domænecontroller, opfordres til at benytte den omgåelse af problemet, som er beskrevet i Sambas wiki, samt at opgradere til Debian stretch.

I den stabile distribution (stretch), er disse problemer rettet i version 2:4.5.12+dfsg-2+deb9u2.

Vi anbefaler at du opgraderer dine samba-pakker.

For detaljeret sikkerhedsstatus vedrørende samba, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/samba