Informations de sécurité / 2018 / Informations sur la sécurité -- DSA-4345-1 samba

Bulletin d'alerte Debian

DSA-4345-1 samba -- Mise à jour de sécurité

Date du rapport :

27 novembre 2018

Paquets concernés :

samba

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-14629, CVE-2018-16841, CVE-2018-16851.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Samba, un serveur de fichier SMB/CIFS, d'impression et de connexion pour Unix. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2018-14629

  Florian Stuelpner a découvert que Samba est vulnérable à une récursion infinie de requêtes provoquée par des boucles de CNAME, avec pour conséquence un déni de service.

  https://www.samba.org/samba/security/CVE-2018-14629.html

• CVE-2018-16841

  Alex MacCuish a découvert qu'un utilisateur avec un certificat valable ou une carte à puce peut planter le KDC de Samba AD DC s'il est configuré pour accepter l'authentification par carte à puce.

  https://www.samba.org/samba/security/CVE-2018-16841.html

• CVE-2018-16851

  Garming Sam de l'équipe Samba et Catalyst ont découvert une vulnérabilité de déréférencement de pointeur NULL dans le serveur LDAP de Samba AD DC permettant à un utilisateur capable de lire plus de 256 Mo d'entrées LDAP de planter le serveur LDAP de Samba AD DC.

  https://www.samba.org/samba/security/CVE-2018-16851.html

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2:4.5.12+dfsg-2+deb9u4.

Nous vous recommandons de mettre à jour vos paquets samba.

Pour disposer d'un état détaillé sur la sécurité de samba, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/samba.