Информация по безопасности / 2016 / Информация о безопасности -- DSA-3514-1 samba

Рекомендация Debian по безопасности

DSA-3514-1 samba -- обновление безопасности

Дата сообщения:

12.03.2016

Затронутые пакеты:

samba

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 812429.
В каталоге Mitre CVE: CVE-2015-7560, CVE-2016-0771.

Более подробная информация:

В Samba, SMB/CIFS файловом сервере, сервере печати и аутентификации для Unix, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2015-7560

  Джереми Элисон из Google, Inc. и команда Samba обнаружили, что Samba некорректно обрабатывает получение и установку списков управления доступом через символьные ссылки. Аутентифицированный злоумышленник может использовать UNIX-расширения SMB1 для создания символьных ссылок на файл или каталог, а затем использовать не-UNIX SMB1 вызовы для перезаписи содержимого списков управления доступом у файла или каталога, на которые указывает созданная ссылка.

• CVE-2016-0771

  Гарминг Сэм и Дуглас Бэгнол из Catalyst IT обнаружили, что Samba уязвима к чтению за пределами выделенного буфера памяти при обработке DNS-записей TXT в том случае, если Samba развёрнута в качестве AD DC, и используется внутренний DNS-сервер. Удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании (аварийная остановка Samba) или потенциальной утечки содержимого памяти сервера в виде DNS-ответа TXT.

Кроме того, данное обновление включает в себя исправление регресса, появившегося из-за изменения, добавленного в основной ветке разработки для исправления CVE-2015-5252 в DSA-3433-1 в случаях, когда для общего доступа открывается корневой каталог файловой системы, '/'.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2:3.6.6-6+deb7u7. Предыдущий стабильный выпуск (wheezy) не подвержен CVE-2016-0771.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 2:4.1.17+dfsg-2+deb8u2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2:4.3.6+dfsg-1.

Рекомендуется обновить пакеты samba.