Bulletin d'alerte Debian

DSA-5071-1 samba -- Mise à jour de sécurité

Date du rapport :

11 février 2022

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1001068, Bogue 1004693, Bogue 1004694.
Dans le dictionnaire CVE du Mitre : CVE-2021-44142, CVE-2022-0336.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Samba, un serveur de fichier SMB/CIFS, d'impression et de connexion pour UNIX.

CVE-2021-44142
Orange Tsai a signalé une vulnérabilité d'écriture de tas hors limites dans le module VFS vfs_fruit, qui pouvait avoir pour conséquence l'exécution à distance de code arbitraire en tant que superutilisateur.
CVE-2022-0336
Kees van Vloten a signalé que les utilisateurs de Samba AD dotés de la permission d'écriture dans un compte pouvaient se faire passer pour des services arbitraires.

Pour la distribution oldstable (Buster), ces problèmes ont été corrigés dans la version 2:4.9.5+dfsg-5+deb10u3. Conformément à la DSA 5015-1, CVE-2022-0336 ils n'ont pas été traités dans la distribution oldstable (Buster).

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 2:4.13.13+dfsg-1~deb11u3. Par ailleurs, quelques correctifs complémentaires pour le CVE-2020-25717 sont inclus dans cette mise à jour (Cf. nº1001068).

Nous vous recommandons de mettre à jour vos paquets samba.

Pour disposer d'un état détaillé sur la sécurité de samba, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/samba.