[NIXP] Критическая уязвимость CVE-2017-14746 в Samba 4.x позволяет удалённо выполнять код

Обсуждение новостей, соответствующих тематике форума

Модератор: Модераторы разделов

Ответить
Аватара пользователя
Dmitry Shurupov
Сообщения: 336
Статус: Open Source geek
ОС: Ubuntu Linux
Контактная информация:

[NIXP] Критическая уязвимость CVE-2017-14746 в Samba 4.x позволяет удалённо выполнять код

Сообщение Dmitry Shurupov »

Вчера в почтовой рассылке проекта свободной реализации протоколов SMB/CIFS — Samba — были представлены релизы 4.7.3, 4.6.11 и 4.5.15, исправляющие две уязвимости в коде. Первая уязвимость в Samba — CVE-2017-14746 — может привести к серьёзным последствиям, поскольку ошибка типа use-after-free (использование памяти после её освобождения) в реализации протокола SMB1, используемой во всех версиях Samba 4.x, позволяет удалённому пользователю без аутентификации отправить специальный запрос к серверу, который вызовет его падение или исполнит произвольный код. В качестве временного решения (до установки патчей/новой версии Samba) возможно запретить использование SMB1, выставив директиву «server min protocol = SMB2». В Red Hat проблеме CVE-2017-14746 присвоили «важную» категорию (important) и сообщили о том, что она затрагивает пакет samba в Red Hat Gluster Storage 3.3 и Red Hat Enterprise Linux 7, а также пакет samba4 в Red Hat Enterprise Linux 6. Вторая проблема — CVE-2017-15275 — затрагивает релизы Samba 3.6.0 и выше, потенциально приводит к возможности утечки информации, однако известных уязвимостей, которые бы её эксплуатировали, пока нет.


Оригинал на nixp.ru
По-моему, это еще один повод перейти на Убунту.
Спасибо сказали:
NickLion
Сообщения: 3408
Статус: аватар-невидимка
ОС: openSUSE Tumbleweed x86_64

Re: [NIXP] Критическая уязвимость CVE-2017-14746 в Samba 4.x позволяет удалённо выполнять код

Сообщение NickLion »

С учётом всех проблем, связанных с SMB1, уже по умолчанию логично его везде блокировать, и в Windows, и в Samba. Тем более XP уже не поддерживается.
Спасибо сказали:
Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8259
Статус: Маньяк
ОС: Arch, Fedora, Ubuntu
Контактная информация:

Re: [NIXP] Критическая уязвимость CVE-2017-14746 в Samba 4.x позволяет удалённо выполнять код

Сообщение serzh-z »

Снова SMB... =)
Спасибо сказали:
Ответить