Новые выпуски Samba 4.1.1, 4.0.11 и 3.6.20 с устранением уязвимостей

11.11.2013 21:50

Представлены корректирующие выпуски Samba 4.1.1, 4.0.11 и 3.6.20, в которых устранены две уязвимости:

CVE-2013-4475 - возможность обхода ограничений ACL через открытие альтернативных потоков данных для файлов или директорий. По умолчанию альтернативные потоки данных не поддерживаются, но могут быть сконфигурированы при помощи VFS-модулей vfs_streams_depot и vfs_streams_xattr. Проблеме подвержены ветки 3.2.x, 3.3.x, 3.4.x, 3.5.x, 3.6.x, 4.0.x и 4.1.x, при условии активации "streams_depot" или "streams_xattr" в smb.conf;
CVE-2013-4476 - размещение закрытого ключа в файле (key.pem) с правами, допускающими чтение любым локальным пользователем в системе. Проблеме подвержены выпуски 4.x, использующие SSL/TLS-шифрование для сервисов ldap(s) и https;

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/38401-sambas

Ключевые слова: sambas

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (4)

1, Аноним (-), 22:16, 11/11/2013 [ответить]	–1 +/–
Зачем плееру (mplayer2) по дефолту дырявая самба?

2, noname12 (ok), 23:05, 11/11/2013 [ответить]	–1 +/–
>>размещение закрытого ключа в файле (key.pem) с правами, допускающими чтение любым локальным пользователем в системе жесть

3, Куяврик (?), 23:24, 11/11/2013 [^] [^^] [^^^] [ответить]	–1 +/–
раздолбайство. лечится chmod. но обидно, да.

4, Аноним (-), 09:29, 12/11/2013 [ответить]	+/–
>Зачем плееру (mplayer2) по дефолту дырявая самба? Шоб с вендячих шар видео смотреть.

Добавить комментарий

Текст: