Información sobre seguridad / 2018 / Información sobre seguridad -- DSA-4345-1 samba

Aviso de seguridad de Debian

DSA-4345-1 samba -- actualización de seguridad

Fecha del informe:

27 de nov de 2018

Paquetes afectados:

samba

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2018-14629, CVE-2018-16841, CVE-2018-16851.

Información adicional:

Se han descubierto varias vulnerabilidades en Samba, un servidor de ficheros, impresión y acceso («login») SMB/CIFS para Unix. El proyecto «Vulnerabilidades y exposiciones comunes» («Common Vulnerabilities and Exposures») identifica los problemas siguientes:

• CVE-2018-14629

  Florian Stuelpner descubrió que Samba es vulnerable a recursión de consulta infinita («infinite query recursion») provocada por bucles de CNAME, dando lugar a denegación de servicio.

  https://www.samba.org/samba/security/CVE-2018-14629.html

• CVE-2018-16841

  Alex MacCuish descubrió que un usuario con un certificado o tarjeta inteligente válidos puede provocar la caída del KDC de Samba AD DC cuando está configurado para aceptar autenticación con tarjeta inteligente («smart-card authentication»).

  https://www.samba.org/samba/security/CVE-2018-16841.html

• CVE-2018-16851

  Garming Sam, del equipo Samba y de Catalyst, descubrió una vulnerabilidad de desreferencia de puntero NULL en el servidor Samba AD DC LDAP que permite que un usuario con capacidad para leer más de 256MB de entradas LDAP provoque la caída del servidor LDAP de Samba AD DC.

  https://www.samba.org/samba/security/CVE-2018-16851.html

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 2:4.5.12+dfsg-2+deb9u4.

Le recomendamos que actualice los paquetes de samba.

Para información detallada sobre el estado de seguridad de samba, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/samba