S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 05 janvier 2009
N° CERTA-2009-AVI-001
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Samba

Gestion du document

Référence CERTA-2009-AVI-001
Titre Vulnérabilité dans Samba
Date de la première version05 janvier 2009
Date de la dernière version05 janvier 2009
Source(s) Bulletin de sécurité Samba CVE-2009-0022

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Systèmes affectés

Samba versions 3.2.0 à 3.2.6.

Résumé

Une vulnérabilité présente dans le serveur de fichier Samba permet à un utilisateur malintentionné distant de contourner la politique de sécurité du système vulnérable.

Description

Une vulnérabilité est présente dans le serveur de fichier Samba. Cette vulnérabilité concerne les serveurs configurés avec la directive registry shares positionnée à yes. Dans ces conditions et avec un certain type de client samba, il est possible à un utilisateur distant malintentionné d'accéder à la racine du système de fichiers (''/'') avec les privilèges du compte valide utilisé pour se connecter auprès du serveur Samba vulnérable.

Solution

La version 3.2.7 corrige le problème :

http://us6.samba.org/samba/ftp/stable/samba-3.2.7.tar.gz

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 05 janvier 2009
    version initiale.