Mise à jour immédiate des serveurs Samba

pour corriger les vulnérabilités de réinitialisation du mot de passe et de DoS

Les mainteneurs de Samba viennent de publier de nouvelles versions de leur logiciel de réseau pour corriger deux vulnérabilités critiques qui pourraient permettre à des attaquants distants non-privilégiés de lancer des attaques DoS contre des serveurs et de changer les mots de passe d’autres utilisateurs, y compris les administrateurs.
Samba est un logiciel open-source (ré-implémentation du protocole réseau SMB) qui fonctionne sur la majorité des systèmes d’exploitation disponibles aujourd’hui, y compris Windows, Linux, UNIX, IBM System 390 et OpenVMS.
Samba permet aux systèmes d’exploitation non-Windows, tels que GNU / Linux ou Mac OS X, de partager des dossiers partagés, des fichiers et des imprimantes avec le système d’exploitation Windows.
La vulnérabilité de déni de service a été affectée à CVE-2018-1050 , ce qui affecte toutes les versions de Samba à partir de la version 4.0.0 et pourrait être exploitée "lorsque le service spoolss RPC est configuré pour être exécuté en tant que démon externe".
"La vérification des entrées manquantes sur certains des paramètres d’entrée pour spoolss appels RPC pourrait provoquer le crash du service spouleur d’impression.Si le service spoolss RPC est laissé par défaut en tant que service interne, tout ce qu’un client peut faire est sa propre connexion authentifiée. " L’avis de Samba dit .
La deuxième vulnérabilité, affectée CVE-2018-1057, permet aux utilisateurs authentifiés non privilégiés de modifier les mots de passe des autres utilisateurs, y compris les administrateurs, via LDAP.
La faille de réinitialisation de mot de passe existe sur toutes les versions de Samba à partir de 4.0.0, mais ne fonctionne que dans l’implémentation Samba Active Directory DC, car elle ne valide pas correctement les permissions des utilisateurs lorsqu’ils demandent de modifier les mots de passe via LDAP.
Un grand nombre de serveurs peut potentiellement être en danger, car Samba est livré avec un large éventail de distributions Linux.
Les mainteneurs de Samba ont corrigé ces deux vulnérabilités avec la sortie des nouvelles versions de Samba 4.7.6, 4.6.14, 4.5.16 et ont conseillé aux administrateurs de mettre à jour immédiatement les serveurs vulnérables.
Si vous utilisez une ancienne version de Samba, consultez cette page pour connaître les correctifs fournis, s’ils sont disponibles.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 29 |

Actu en image