Sikkerhedsoplysninger / 2018 / Sikkerhedsoplysninger -- DSA-4345-1 samba

Debians sikkerhedsbulletin

DSA-4345-1 samba -- sikkerhedsopdatering

Rapporteret den:

27. nov 2018

Berørte pakker:

samba

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2018-14629, CVE-2018-16841, CVE-2018-16851.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Samba, en Unix-server til SMB/CIFS, print og login. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2018-14629

  Florian Stuelpner opdagede at Samba er sårbar over for uendelig forespørgselsrekursion forårsaget af CNAME-løkker, medførende lammelsangreb.

  https://www.samba.org/samba/security/CVE-2018-14629.html

• CVE-2018-16841

  Alex MacCuish opdagede at en bruger med et gyldigt certifikat eller smartcard, kunne få Samba AD DC's KDC til at gå ned, når den er opsat til at acceptere smartcard-autentifikation.

  https://www.samba.org/samba/security/CVE-2018-16841.html

• CVE-2018-16851

  Garming Sam fra Samba Team og Catalyst opdagede en sårbarhed i forbindelse med en NULL-pointerdereference i Samba AD DC's LDAP-server, som gjorde det muligt for en bruger at læse mere end 256 MB LDAP-poster, at få Samba AD DC's LDAP-server til at gå ned.

  https://www.samba.org/samba/security/CVE-2018-16851.html

I den stabile distribution (stretch), er disse problemer rettet i version 2:4.5.12+dfsg-2+deb9u4.

Vi anbefaler at du opgraderer dine samba-pakker.

For detaljeret sikkerhedsstatus vedrørende samba, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/samba