Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3514-1 samba

Bulletin d'alerte Debian

DSA-3514-1 samba -- Mise à jour de sécurité

Date du rapport :

12 mars 2016

Paquets concernés :

samba

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 812429.
Dans le dictionnaire CVE du Mitre : CVE-2015-7560, CVE-2016-0771.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans Samba, un serveur de fichiers SMB/CIFS, d'impression et de connexion pour Unix. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2015-7560

  Jeremy Allison de Google Inc. et l'équipe Samba ont découvert que Samba ne gère pas correctement la récupération et le réglage des ACL pour les liens symboliques. Un client authentifié malveillant peut utiliser les extensions SMB1 UNIX pour créer un lien symbolique pour un fichier ou un répertoire, puis utiliser un appel SMB1 non UNIX pour écraser le contenu des ACL sur ce fichier ou ce répertoire.

• CVE-2016-0771

  Garming Sam et Douglas Bagnall de Catalyst IT ont découvert que Samba est vulnérable à un problème de lecture hors limites lors de la gestion d'un enregistrement TXT DNS, si Samba est déployé comme AD DC et choisi pour exécuter le serveur DNS interne. Un attaquant distant peut exploiter ce défaut pour provoquer un déni de service (plantage de Samba), ou potentiellement, permettre une fuite de mémoire à partir du serveur dans le formulaire d'une réponse TXT DNS.

De plus, cette mise à jour inclut une correction pour une régression introduite du fait du correctif amont pour CVE-2015-5252 dans la DSA-3433-1, dans les configurations où le chemin commun est « / ».

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 2:3.6.6-6+deb7u7. La distribution oldstable (Wheezy) n'est pas touchée par CVE-2016-0771.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 2:4.1.17+dfsg-2+deb8u2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2:4.3.6+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets samba.