Avis du CERTA : Vulnérabilités dans Samba
novembre 2007 par CERT-FR
1 Risque
Exécution de code arbitraire à distance.
2 Systèmes affectés
Samba, versions 3.0.x.
3 Description
Une vulnérabilité dans la construction de réponses d’un serveur Samba à des
requêtes Netbios permet à un utilisateur malveillant d’exécuter du code
arbitraire à distance.
Une autre vulnérabilité, exploitable uniquement si le serveur Samba sert de
contrôleur de domaine primaire ou secondaire, permet également à un utilisateur
malveillant d’exécuter du code arbitraire à distance.
4 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
5 Documentation
* Bulletin de sécurité Fedora 3402 du 15 novembre 2007 :
https://www.redhat.com/archives/fedora-package-announce/2007-November/msg00472.html
* Bulletin de sécurité RedHat RHSA-2007:1013 du 15 novembre 2007 :
http://rhn.redhat.com/errata/RHSA-2007-1013.html
* Bulletin du projet Samba du 15 novembre 2007 :
http://us1.samba.org/samba/history/security.html
* Bulletin de sécurité Ubuntu USN-544-1 du 15 novembre 2007 :
http://www.ubuntulinux.org/usn/usn-544-1
* Référence CVE CVE-2007-4572 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4572
* Référence CVE CVE-2007-5398 :