Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 septembre 2010

N° CERTA-2010-AVI-429

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Samba

Gestion du document

Référence	CERTA-2010-AVI-429
Titre	Vulnérabilité dans Samba
Date de la première version	14 septembre 2010
Date de la dernière version	21 septembre 2010
Source(s)	Annonce de la version Samba 3.5.5

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance

Systèmes affectés

Samba 3.5.4 et versions précédentes.

Résumé

Un débordement de mémoire est présent dans le serveur Samba et peut être exploité par un utilisateur malveillant pour exécuter du code arbitraire à distance.

Description

Le serveur Samba ne vérifie pas correctement les identifiants Windows (SID). Ce défaut peut être utilisé pour provoquer un débordement de mémoire par un utilisateur malveillant et exécuter du code arbitraire à distance.

Solution

La version 3.5.5 de Samba corrige ce problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Annonce de la version Samba 3.5.5

http://us1.samba.org/samba/history/samba-3.5.5.html

Bulletin de sécurité Debian DSA-2109 du 16 septembre 2010 :

http://www.debian.org/security/2010/dsa-2109

Bulletin de sécurité Samba CVE-2010-2069 du 14 septembre 2010 :

http://us1.samba.org/samba/security/CVE-2010-2069.html

Référence CVE CVE-2010-2069

https://www.cve.org/CVERecord?id=CVE-2010-2069

Référence CVE CVE-2010-3069

https://www.cve.org/CVERecord?id=CVE-2010-3069

Gestion détaillée du document

le 14 septembre 2010: version initiale.
le 21 septembre 2010: ajout de la référence au bulletin Debian.