28 de mayo de 2014

SAMBA. Actualización de seguridad

Samba ha publicado una actualización de software que corrige dos vulnerabilidades de seguridad: una exposición de memoria no inicializada (CVE-2014-0178)  y un error en el servidor interno de DNS (CVE-2014-0239)  que podría provocar un ataque de denegación de servicio. La actualización se ha catalogado de Importancia: 3 - Media
Recursos afectados
  1. La vulnerabilidad de exposición de memoria no inicializada afecta a todas las versiones de Samba entre 3.6.6 y 4.1.7.
  2. La vulnerabilidad debida a un error de comprobación en el servidor interno de DNS afectaría a todas las versiones de Samba anteriores a la 4.0.0.
Recomendación
  • Samba ha liberado un parche para Samba 4.0.17 que soluciona ambas vulnerabilidades.
  • Otras soluciones son:
  1. Para la vulnerabilidad relativa a la exposición de memoria no inicializada, se podría configurar Samba sin las opciones "shadow_copy" o "shadow_copy2".
  2. Para la vulnerabilidad debida al DNS interno se puede usar el backend BIND_DLZ DNS para evitar este problema.
Más información:
Fuente: INTECO.es