Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2966-1 samba

Bulletin d'alerte Debian

DSA-2966-1 samba -- Mise à jour de sécurité

Date du rapport :

23 juin 2014

Paquets concernés :

samba

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-0178, CVE-2014-0244, CVE-2014-3493.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes et corrigées dans Samba, un serveur de fichiers SMB/CIFS, d'impression et d'authentification :

• CVE-2014-0178

  Vulnérabilité de fuite d'informations dans le code VFS, permettant à un utilisateur authentifié d'extraire huit octets de mémoire non initialisée quand le service shadow copy est activé.

• CVE-2014-0244

  Déni de service (boucle infinie du processeur) dans le démon de service de nom Netbios nmbd. Un paquet malformé peut faire entrer le serveur nmbd dans une boucle infinie, l'empêchant de traiter des requêtes ultérieures du service de nom Netbios.

• CVE-2014-3493

  Déni de service (plantage du démon) dans le démon du serveur de fichiers smbd. Un utilisateur authentifié tentant de lire un chemin Unicode et utilisant une requête non Unicode peut forcer le démon à écraser la mémoire à une adresse invalide.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2:3.6.6-6+deb7u4.

Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 2:4.1.9+dfsg-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2:4.1.9+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets samba.