Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5205-1 samba

Bulletin d'alerte Debian

DSA-5205-1 samba -- Mise à jour de sécurité

Date du rapport :

11 août 2022

Paquets concernés :

samba

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1016449.
Dans le dictionnaire CVE du Mitre : CVE-2022-2031, CVE-2022-32742, CVE-2022-32744, CVE-2022-32745, CVE-2022-32746.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Samba, un serveur de fichiers SMB/CIFS, d'impression et d'authentification pour Unix.

• CVE-2022-2031

  Luke Howard a signalé que les utilisateurs du serveur AD de Samba peuvent contourner certaines restrictions associées au changement de mot de passe. Un utilisateur à qui il a été demandé de changer son mot de passe peut exploiter cela pour obtenir et utiliser des tickets d'autres services.

• CVE-2022-32742

  Luca Moro a signalé qu'un client SMB1 doté d'un accès en écriture vers un partage peut provoquer la divulgation du contenu de la mémoire du serveur.

• CVE-2022-32744

  Joseph Sutton a signalé que les utilisateurs du serveur AD de Samba peuvent contrefaire des requêtes de changement de mot de passe pour n'importe quel utilisateur avec pour conséquence une élévation de privilèges.

• CVE-2022-32745

  Joseph Sutton a signalé que les utilisateurs du serveur AD de Samba peuvent planter le processus du serveur avec une requête add ou modify LDAP contrefaite pour l'occasion.

• CVE-2022-32746

  Joseph Sutton et Andrew Bartlett ont signalé que les utilisateurs du serveur AD de Samba peuvent provoquer une utilisation de mémoire après libération dans le processus du serveur avec une requête add ou modify LDAP contrefaite pour l'occasion.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 2:4.13.13+dfsg-1~deb11u5. La correction du CVE-2022-32745 nécessite la mise à jour vers ldb 2:2.2.3-2~deb11u2 pour corriger le défaut.

Nous vous recommandons de mettre à jour vos paquets samba.

Pour disposer d'un état détaillé sur la sécurité de samba, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/samba