Информация по безопасности / 2014 / Информация о безопасности -- DSA-2966-1 samba

Рекомендация Debian по безопасности

DSA-2966-1 samba -- обновление безопасности

Дата сообщения:

23.06.2014

Затронутые пакеты:

samba

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-0178, CVE-2014-0244, CVE-2014-3493.

Более подробная информация:

В Samba, файловом сервере, сервере печати и сервере авторизации SMB/CIFS, были обнаружены и исправлены многочисленные уязвимости:

• CVE-2014-0178

  Утечка информации в коде VFS, которая позволяет авторизованному пользователю получить восемь байт неинициализированной памяти при включённой опции теневого копирования.

• CVE-2014-0244

  Отказ в обслуживании (бесконечный цикл процессора) nmbd, службе имён Netbios. Некорректный пакет может привести к тому, что сервер nmbd перейдёт в состояние бесконечного цикла, что не позволяет ему обрабатывать последующие запросы к службе имён Netbios.

• CVE-2014-3493

  Отказ в обслуживании (аварийная остановка службы) в службе файлового сервера smbd. Авторизованный пользователь, пытающийся считать путь в кодировке Unicode, используя запрос не в кодировке Unicode, может заставить службу перезаписать память по неправильному адресу.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2:3.6.6-6+deb7u4.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 2:4.1.9+dfsg-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2:4.1.9+dfsg-1.

Рекомендуется обновить пакеты samba.