Debians sikkerhedsbulletin
DSA-5205-1 samba -- sikkerhedsopdatering
- Rapporteret den:
- 11. aug 2022
- Berørte pakker:
- samba
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 1016449.
I Mitres CVE-ordbog: CVE-2022-2031, CVE-2022-32742, CVE-2022-32744, CVE-2022-32745, CVE-2022-32746. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Samba, en SMB/CIFS-fil-, -print- og loginserver til Unix.
- CVE-2022-2031
Luke Howard rapporterede at Samba AD-brugere kunne omgå visse begrænsninger i forbindelse med ændring af adgangskoder. En bruger, der er blevet bedt om at skifte sin adgangskode, kunne udnytte fejlen til at få fat i og anvende ticket til andre services.
- CVE-2022-32742
Luca Moro rapporterede at en SMB1-klient med skriveadgang til et share, kunne forårsage at serverhukommelsesindhold kunne lækkes.
- CVE-2022-32744
Joseph Sutton rapporterede at Samba AD-brugere kunne fabrikere adgangskodeændringsbeskeder for enhver bruger, medførende rettighedsforøgelse.
- CVE-2022-32745
Joseph Sutton rapporterede at Samba AD-brugere kunne få serverprocessen til at gå ned ved hjælp af en særligt fremstillet tilføjelses- eller ændringsforespørgsel i LDAP.
- CVE-2022-32746
Joseph Sutton og Andrew Bartlett rapporterede at Samba AD-brugere kunne forårsage en anvendelse efter frigivelse i serverprocessen, med en særligt fremstillet tilføjelses- eller ændringsforespørgsel til LDAP.
I den stabile distribution (bullseye), er disse problemer rettet i version 2:4.13.13+dfsg-1~deb11u5. Rettelsen af CVE-2022-32745, krævede en opdatering af ldb 2:2.2.3-2~deb11u2, for at rette fejlen.
Vi anbefaler at du opgraderer dine samba-pakker.
For detaljeret sikkerhedsstatus vedrørende samba, se dens sikkerhedssporingssidede på: https://security-tracker.debian.org/tracker/samba
- CVE-2022-2031