Debians sikkerhedsbulletin
DSA-2966-1 samba -- sikkerhedsopdatering
- Rapporteret den:
- 23. jun 2014
- Berørte pakker:
- samba
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-0178, CVE-2014-0244, CVE-2014-3493.
- Yderligere oplysninger:
-
Flere sårbarheder blev opdaget og rettet i Samba, en SMB-/CIFS-fil-, print- og loginserver:
- CVE-2014-0178
En informationslækagesårbarhed i VFS-koden, gjorde det muligt for en autentificeret bruger, at hente otte bytes fra uinitialiseret hukommelse, når skyggekopiering er aktiveret.
- CVE-2014-0244
Lammelsesangreb (uendelig CPU-løkke) i nmbd-Netbios-navneservicedæmonen. En misdannet pakke kunne forårsage, at nmbd-serveren kom i en uendelig løkke, hvilket forhindrede behandling af efterfølgende forespørgsler til Netbios-navneservicen.
- CVE-2014-3493
Lammelsesangreb (dæmonnedbrud) i smbd-filserverdæmonen. En autentificeret bruger, som forsøgte at læse en Unicode-sti ved hjælp af en ikke-Unicode-forespørgsel, kunne tvinge dæmonen til at overskrive hukommelse på en ugyldig adresse.
I den stabile distribution (wheezy), er disse problemer rettet i version 2:3.6.6-6+deb7u4.
I distributionen testing (jessie), er disse problemer rettet i version 2:4.1.9+dfsg-1.
I den ustabile distribution (sid), er disse problemer rettet i version 2:4.1.9+dfsg-1.
Vi anbefaler at du opgraderer dine samba-pakker.
- CVE-2014-0178