Aviso de seguridad de Debian
DSA-4135-1 samba -- actualización de seguridad
- Fecha del informe:
- 13 de mar de 2018
- Paquetes afectados:
- samba
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2018-1050, CVE-2018-1057.
- Información adicional:
-
Se han descubierto varias vulnerabilidades en Samba, un servidor de ficheros, impresión y acceso («login») SMB/CIFS para Unix. El proyecto «Vulnerabilidades y exposiciones comunes» («Common Vulnerabilities and Exposures») identifica los problemas siguientes:
- CVE-2018-1050
Se descubrió que Samba es propenso a un ataque de denegación de servicio cuando se configura el servicio RPC spoolss para que se ejecute como un demonio externo.
- CVE-2018-1057
Bjoern Baumbach, de Sernet, descubrió que en Samba 4 AD DC el servidor LDAP valida incorrectamente permisos para modificar contraseñas sobre LDAP, permitiendo que usuarios autenticados cambien las contraseñas de cualesquiera otros usuarios, incluyendo las de usuarios administrativos.
Para la distribución «antigua estable» (jessie), CVE-2018-1050 se abordará en una futura actualización. Desafortunadamente, las modificaciones necesarias para corregir CVE-2018-1057 en Debian «antigua estable» son demasiado invasivas para adaptarlas. Animamos a quienes utilicen Samba como controlador de dominio compatible con AD a que apliquen la solución alternativa descrita en la wiki de Samba y pasen a Debian stretch.
Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 2:4.5.12+dfsg-2+deb9u2.
Le recomendamos que actualice los paquetes de samba.
Para información detallada sobre el estado de seguridad de samba consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/samba
- CVE-2018-1050