Risques

  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

Samba 3.0.23d et versions antérieurs.

Résumé

Trois vulnérabilités de Samba permettent de provoquer un déni de service à distance et l'exécution de code arbitraire à distance.

Description

Le logiciel Samba est un logiciel libre de partage de ressources qui utilise le protocole SMB (Server Message Block).

Un défaut de validation des entrées du l'utilisateur permettrait à une personne malveillante d'exécuter à distance un code arbitraire, dans le contexte de l'utilisateur.

Un défaut de validation d'entrée dans les fonctions gethostbyname() et getipnodebyname() permettrait l'exécution de code arbitraire à distance lorsque le service winbind est activé.

Une erreur dans smbd permettrait à un utilisateur authentifié de provoquer une boucle infinie et ainsi un déni de service à distance.

Solution

La version 3.0.24 de Samba corrige le problème. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation