Информация по безопасности / 2021 / Информация о безопасности -- DSA-5015-1 samba

Рекомендация Debian по безопасности

DSA-5015-1 samba -- обновление безопасности

Дата сообщения:

30.11.2021

Затронутые пакеты:

samba

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2020-25717.

Более подробная информация:

Эндрю Бартлет сообщил, что Samba, файловый сервер, сервер печати и входа SMB/CIFS для Unix, может преобразовывать пользователей домена в локальных пользователей нежелательным образом Это может позволить пользователю в AD-домене потенциально стать суперпользователем на машинах домена.

Обновление добавляет новый параметр min domain uid (по умолчанию имеет значение 1000) для того, чтобы не принимать пользовательские идентификаторы UNIX ниже этого значения.

Дальнейшие подробности и способы временного решения проблемы можно найти в рекомендации из основной ветки разработки по адресу https://www.samba.org/samba/security/CVE-2020-25717.html

В предыдущем стабильном выпуске (buster) эта проблема была исправлена в версии 2:4.9.5+dfsg-5+deb10u2. Кроме того, это обновление снижает риск от CVE-2020-25722. К сожалению, изменения потребовали исправить дополнительные CVE, касающиеся Samba при использовании в качестве совместимого с AD контроллера домена, которые являются слишком серьёзными, чтобы осуществить их обратный перенос. Таким образом, пользователя, использующим Samba в качестве совместимого с AD контроллера домена, настоятельно рекомендуется перейти на использование Debian bullseye. С этого момента использование совместимого с AD контроллера домена более не поддерживается в предыдущем выпуске Debian.

Рекомендуется обновить пакеты samba.

С подробным статусом поддержки безопасности samba можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/samba