Multiples vulnérabilités de Samba

Risques

Samba 3.0.7 et versions antérieures.

Samba 3.0.8 corrige deux vulnérabilités présentes dans les versions antérieures de Samba.

Samba est un logiciel libre utilisé pour la mise en oeuvre des partages réseau à l'aide des protocoles SMB et CIFS sous Unix.

Deux vulnérabilités sont présentes dans Samba :

CVE CAN-2004-882 : une vulnérabilité de type débordement de mémoire est présente dans le traitement des requêtes QFILEPATHINFO. En créant au préalable sur un serveur Samba des fichiers dont le nom est soigneusement choisi, un utilisateur mal intentionné peut réaliser l'exécution de code arbitraire à distance sur un serveur Samba vulnérable.
CVE CAN-2004-930 : une vulnérabilité est présente dans le traitement des noms de fichiers contenant le caractère '*'. Par le biais de requêtes habilement contituées, un utilisateur mal intentionné peut réaliser un déni de service par consommation excessive de ressources processeur.

La version 3.0.8 de Samba corrige ces vulnérabilités.

Annonce Samba "CAN-2004-0930: Potential remote denial of service vulnerability in Samba 3.0.x <= 3.0.7" :

Référence	CERTA-2004-AVI-368
Titre	Multiples vulnérabilités de Samba
Date de la première version	17 novembre 2004
Date de la dernière version	16 décembre 2004
Source(s)	Bulletin de sécurité d'e-matters Bulletin de sécurité d'iDEFENSE
Pièce(s) jointe(s)	Aucune(s)