Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4345-1 samba

Säkerhetsbulletin från Debian

DSA-4345-1 samba -- säkerhetsuppdatering

Rapporterat den:

2018-11-27

Berörda paket:

samba

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2018-14629, CVE-2018-16841, CVE-2018-16851.

Ytterligare information:

Flera sårbarheter har upptäckts i Samba, en SMB/CIFS fil-, utskrifts-, och inloggningsserver för Unix. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2018-14629

  Florian Stuelpner upptäckte att Samba är sårbar för oändlig förfrågerekursion som orsakas av CNAME-loopar, vilket resulterar i överbelastning.

  https://www.samba.org/samba/security/CVE-2018-14629.html

• CVE-2018-16841

  Alex MacCuish upptäckte att en användare med ett giltigt certifikat eller smartkort kan krascha Samvba AD DC's KDC när den är konfigurerad att acceptera smart-kort autentisering.

  https://www.samba.org/samba/security/CVE-2018-16841.html

• CVE-2018-16851

  Garming Sam från Samba-gruppen och Catalyst upptäckte en NULL-pekardereferenssårbarhet i Samba AD DC LDAP-servern som tillåter en användare som kan läsa mer än 256MB LDAP-inlägg att krascha Samba AD DC's LDAP-server.

  https://www.samba.org/samba/security/CVE-2018-16851.html

För den stabila utgåvan (Stretch) har dessa problem rättats i version 2:4.5.12+dfsg-2+deb9u4.

Vi rekommenderar att ni uppgraderar era samba-paket.

För detaljerad säkerhetsstatus om samba vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/samba