S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 septembre 2004
N° CERTA-2004-AVI-311
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités de Samba

Gestion du document

Référence CERTA-2004-AVI-311
Titre Multiples vulnérabilités de Samba
Date de la première version14 septembre 2004
Date de la dernière version23 septembre 2004
Source(s) Bulletins de sécurité d'iDEFENSE
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service

Systèmes affectés

Samba versions 3.0.6 et antérieures.

Résumé

Plusieurs vulnérabilités dans Samba permettent à un utilisateur mal intentionné de provoquer un déni de service.

Description

Samba est un logiciel libre, open source, utilisé pour la mise en oeuvre des partages réseau à l'aide des protocoles SMB et CIFS sous Unix.

Plusieurs vulnérabilités sont présentes dans samba :

  • CVE CAN-2004-0807 : vulnérabilité dans le décodage de données ASN.1 lors de la phase d'authentification d'un utilisateur ;
  • CVE CAN-2004-0808 : vulnérabilité dans le traitement de paquets NETBIOS.

L'exploitation de ces vulnérabilités permet à un utilisateur mal intentionné, via l'envoi de paquets habilement constitués, de créer un déni de service en provoquant l'arrêt brutal du service nmbd ou la consommation excessive de mémoire par le service smbd.

Solution

La version 3.0.7 de Samba corrige ces vulnérabilités.

Documentation

Gestion détaillée du document

    le 14 septembre 2004
    version initiale.
    le 23 septembre 2004
    ajout de la référence au bulletin de sécurité de Red Hat.