 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 16 décembre
2004
No CERTA-2004-AVI-368-003 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités de Samba
Tableau 1: Gestion du document
| Référence |
CERTA-2004-AVI-368-003 |
| Titre |
Multiples
vulnérabilités de Samba |
| Date de la première
version |
17 novembre 2004 |
| Date de la dernière
version |
16 décembre 2004 |
| Source(s) |
Bulletin de
sécurité d'iDEFENSE |
| |
Bulletin de
sécurité d'e-matters |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- déni de service.
Samba 3.0.7 et versions antérieures.
Samba 3.0.8 corrige deux vulnérabilités
présentes dans les versions antérieures de Samba.
Samba est un logiciel libre utilisé pour la mise en
oeuvre des partages réseau à l'aide des
protocoles SMB et CIFS sous Unix.
Deux vulnérabilités sont présentes dans
Samba :
- CVE CAN-2004-882 : une vulnérabilité de
type débordement de mémoire est présente
dans le traitement des requêtes QFILEPATHINFO. En
créant au préalable sur un serveur Samba des
fichiers dont le nom est soigneusement choisi, un utilisateur
mal intentionné peut réaliser
l'exécution de code arbitraire à distance sur
un serveur Samba vulnérable.
- CVE CAN-2004-930 : une vulnérabilité est
présente dans le traitement des noms de fichiers
contenant le caractère '*'. Par le biais de
requêtes habilement contituées, un utilisateur
mal intentionné peut réaliser un déni de
service par consommation excessive de ressources
processeur.
La version 3.0.8 de Samba corrige ces
vulnérabilités.
- 17 novembre 2004
- version initiale.
- 19 novembre 2004
- ajout de la référence au bulletin de
sécurité MDKSA-2004:136 de Mandrake.
- 22 novembre 2004
- ajout de la référence au second bulletin de
sécurité FreeBSD.
- 16 décembre 2004
- ajout de la référence au bulletin de
sécurité SGI.
CERTA
2012-01-04
|
|
)
