Se han publicado nuevas versiones de Samba, destinadas a
solucionar tres vulnerabilidades que podrían permitir a un atacante ejecutar
código de forma remota o elevar privilegios en los sistemas afectados.
Samba es un software gratuito que permite acceder y
utilizar archivos, impresoras y otros recursos compartidos en una intranet o en
Internet. Está soportado por una gran variedad de sistemas operativos, como
Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block)
y CIFS (Common Internet File System).
Detalle de las vulnerabilidades subsanadas
- El primero de los problemas (con CVE-2016-2123) reside en un desbordamiento de búfer en ndr_pull_dnsp_name al tratar objetos Samba NDR (Network Data Representation). Por otra parte, con CVE-2016-2125, una elevación de privilegios en servidores Kerberos en sitios de confianza. Y por último, con CVE-2016-2126, fallos en la validación PAC de Kerberos que podrían permitir elevar privilegios a usuarios locales.
- Se han publicado las versiones Samba 4.5.3, 4.4.8 y 4.3.13 que corrigen los problemas. http://www.samba.org/samba/security/
- Para Samba 4.5.2: https://download.samba.org/pub/samba/patches/samba-4.5.2-4.5.3.diffs.gz
- Para Samba 4.4.7: https://download.samba.org/pub/samba/patches/samba-4.4.7-4.4.8.diffs.gz
- Para Samba 4.3.12: https://download.samba.org/pub/samba/patches/patch-4.3.12-4.3.13.diffs.gz
- Samba 4.5.3, 4.4.8 and 4.3.13 Security Releases Available for Download https://www.samba.org/samba/history/
- Samba NDR Parsing ndr_pull_dnsp_name Heap-based Buffer Overflow Remote Code Execution Vulnerability https://www.samba.org/samba/security/CVE-2016-2123.html
- Unconditional privilege delegation to Kerberos servers in trusted realms https://www.samba.org/samba/security/CVE-2016-2125.html
- Samba 4.5.3 Available for Download https://www.samba.org/samba/history/samba-4.5.3.html
- Samba 4.4.8 Available for Download https://www.samba.org/samba/history/samba-4.4.8.html
- Samba 4.3.13 Available for Download https://www.samba.org/samba/history/samba-4.3.13.html