Vulnérabilité de Samba

Gestion du document

Référence	CERTA-2004-AVI-307
Titre	Vulnérabilité de Samba
Date de la première version	09 septembre 2004
Date de la dernière version	09 septembre 2004
Source(s)	Bulletin de sécurité Gentoo GLSA 200409-14 du 09 septembre 2004
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service.

Systèmes affectés

Samba versions antérieures à la version 3.0.6 ;
Samba versions antérieures à la version 2.2.11.

Résumé

Plusieurs vulnérabilités dans Samba permettent à un utilisateur mal intentionné de provoquer un déni de service.

Description

Samba est un logiciel libre, open source, utilisé pour la mise en oeuvre des partages réseau à l'aide des protocoles SMB et CIFS sous Unix.
Plusieurs vulnérabilités permettent à un utilisateur mal intentionné, via l'envoi de requêtes habilement selectionnées, de créer un déni de service en provoquant l'arrêt brutal du service Samba smbd.

Solution

A partir des sources, mettre à jour Samba en version 2.2.11 ou en version 3.0.6. Les sources de Samba sont téléchargeables à l'adresse suivante :
```
http://download.samba.org/samba/ftp/
```
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Site Internet de Samba :
```
http://www.samba.org
```

Note relative à la sortie de Samba 2.2.11 :

http://samba.org/samba/history/samba-2.2.11.html

Note relative à la sortie de Samba 3.0.6 :

http://samba.org/samba/history/samba-3.0.6.html

Message dans la liste de diffusion BugTraq du 31 août 2004 :
```
http://www.securityfocus.com/archive/1/373619
```
Bulletin de sécurité Gentoo GLSA 200409-14 du 09 septembre 2004 :
```
http://www.gentoo.org/security/en/glsa/glsa-200409-14.xml
```

Avis du CERT-FR

Objet: Vulnérabilité de Samba