Debians sikkerhedsbulletin
DSA-4135-1 samba -- sikkerhedsopdatering
- Rapporteret den:
- 13. mar 2018
- Berørte pakker:
- samba
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2018-1050, CVE-2018-1057.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Samba, en SMB/CIFS fil-, print- og loginserver til Unix. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2018-1050
Man opdagede at Samba var sårbar over for et lammelsesangreb når RPC-spoolss-servicen er opsat til at køre som en ekstern dæmon.
- CVE-2018-1057
Bjoern Baumbach fra Sernet opdagede, at på Samba 4 AD DC, validerede LDAP-serveren på ukorrekt vis tilladelser til at ændre adgangskoder over LDAP, hvilket gjorde det muligt for autentificerede brugere at ændre enhver anden brugers adgangskode, herunder administrative brugeres.
I den gamle stabile distribution (jessie), vil CVE-2018-1050 blive løst i en senere opdatering. Desværre er de nødvendige ændringer til at rette CVE-2018-1057 i Debians gamle stabile distribution, for invasive til at blive tilbageført. Brugere, der anvender Samba som en AD-kompatibel domænecontroller, opfordres til at benytte den omgåelse af problemet, som er beskrevet i Sambas wiki, samt at opgradere til Debian stretch.
I den stabile distribution (stretch), er disse problemer rettet i version 2:4.5.12+dfsg-2+deb9u2.
Vi anbefaler at du opgraderer dine samba-pakker.
For detaljeret sikkerhedsstatus vedrørende samba, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/samba
- CVE-2018-1050