Säkerhetsbulletin från Debian
DSA-4135-1 samba -- säkerhetsuppdatering
- Rapporterat den:
- 2018-03-13
- Berörda paket:
- samba
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2018-1050, CVE-2018-1057.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i Samba, SMB/CIFS fil-, utskrifts-, och loginserver för Unix. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2018-1050
Man har upptäckt att Samba är sårbar för ett överbelastningsangrepp när RPS spoolss-tjänsten är konfigurerad att köras som en extern demon.
- CVE-2018-1057
Bjoern Baumbach från Sernet upptäckte att LDAP-servern validerar rättigheter felaktigt för att modifiera lösenord över LDAP på Samba 5 AD DC vilket tillåter autentiserade användare att ändra andras lösenord, inklusive administrativa användare.
För den gamla stabila utgåvan (Jessie), kommer CVE-2018-1050 att adresseras i en senare uppdatering. Tyvärr är ändringarna som krävs för att rätta CVE-2018-1057 i gamla stabila utgåvan av Debian för inträngande för att bakåtanpassas. Användare av Samba som en AD-kompatibel domänkontrollerare uppmuntras att applicera lösningen som beskrivs i Samba-wikin och uppgradera till Debian Stretch.
För den stabila utgåvan (Stretch) har dessa problem rättats i version 2:4.5.12+dfsg-2+deb9u2.
Vi rekommenderar att ni uppgraderar era samba-paket.
För detaljerad säkerhetsstatus om samba vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/samba
- CVE-2018-1050