Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4135-1 samba

Säkerhetsbulletin från Debian

DSA-4135-1 samba -- säkerhetsuppdatering

Rapporterat den:

2018-03-13

Berörda paket:

samba

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2018-1050, CVE-2018-1057.

Ytterligare information:

Flera sårbarheter har upptäckts i Samba, SMB/CIFS fil-, utskrifts-, och loginserver för Unix. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2018-1050

  Man har upptäckt att Samba är sårbar för ett överbelastningsangrepp när RPS spoolss-tjänsten är konfigurerad att köras som en extern demon.

  https://www.samba.org/samba/security/CVE-2018-1050.html

• CVE-2018-1057

  Bjoern Baumbach från Sernet upptäckte att LDAP-servern validerar rättigheter felaktigt för att modifiera lösenord över LDAP på Samba 5 AD DC vilket tillåter autentiserade användare att ändra andras lösenord, inklusive administrativa användare.

  https://www.samba.org/samba/security/CVE-2018-1057.html

  https://wiki.samba.org/index.php/CVE-2018-1057

För den gamla stabila utgåvan (Jessie), kommer CVE-2018-1050 att adresseras i en senare uppdatering. Tyvärr är ändringarna som krävs för att rätta CVE-2018-1057 i gamla stabila utgåvan av Debian för inträngande för att bakåtanpassas. Användare av Samba som en AD-kompatibel domänkontrollerare uppmuntras att applicera lösningen som beskrivs i Samba-wikin och uppgradera till Debian Stretch.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 2:4.5.12+dfsg-2+deb9u2.

Vi rekommenderar att ni uppgraderar era samba-paket.

För detaljerad säkerhetsstatus om samba vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/samba