Представлено (http://permalink.gmane.org/gmane.network.samba.announce/279) корректирующее обновление Samba 4.0.1 (http://samba.org), в котором отмечается только одно изменение, связанное с устранением уязвимости в реализации контроллера домена Active Directory. Уязвимость (CVE-2013-0172) позволяет непривилегированному аутентифицированному пользователю получить доступ на запись ко всем атрибутам объекта, если данный пользователь или группа к которой он принадлежит является членом любого списка доступа на основе objectClass или имеет право записи к выборочным атрибутам объекта в LDAP.
Опасность уязвимости смягчает то, что по умолчанию в конфигурации Samba 4 запрещён анонимный доступ, а также то, что обычные пользователи могут получить права доступа на основе objectClass как правило только через включение в группу обеспечения совместимости с версиями до Windows 2000, но Samba 4.0.0 не помещает аутентифицируемых пользователей в данную группу.
URL: http://permalink.gmane.org/gmane.network.samba.announce/279
Новость: http://www.opennet.me/opennews/art.shtml?num=35837
Молодцы ребята. Честь и хвала. Надеюсь этот проект не попадет в руки Oracle, и устранение уязвимостей будет столь же оперативным.
Годный вброс) если проект попадет ораклу, то что может помешать сообществу столь же оперативно устранять уязвимости?) месье тролль?)
а сколько уязвимостей уже исправили вы, месье тролль?
то есть вы хотите рассписаться в том что сообщество не в состоянии исправлять баги в безопастности ?
Не в состоянии, если основной разработчик (например оракл) выбросит в ведро твои исправления. (
что-то на арче не спешат с обновами samba до 4 версии
может кто-нибудь знает почему?
отмечают выпуск самбы 4 или внедряют её на своей работе :)
И слава богу...
Для анонимного доступа и самба 3 годилась.. :)
> Для анонимного доступа и самба 3 годилась.. :)под новые ведра нужна самба 4..
Смешно ))
пруф или не было