2017-1671: Samba: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen

Historie:

Version 1 (2017-09-21 17:07)

Neues Advisory

Version 2 (2017-09-21 19:57)

Für die Red Hat Enterprise Linux 6 Produktvarianten Server, Workstation, Desktop und Scientific Computing stehen Sicherheitsupdates in Form von Backports zur Verfügung, über welche die Schwachstellen CVE-2017-12150 und CVE-2017-12163 behoben werden.

Version 3 (2017-09-22 17:57)

Canonical stellt für die Distributionen Ubuntu 17.04, 16.04 LTS und 14.04 LTS Backport-Sicherheitsupdates für Samba bereit, um die aufgeführten Schwachstellen zu beheben. Für Fedora 27 steht das Paket 'samba-4.7.0-12.fc27' im Status 'testing' als Sicherheitsupdate zur Verfügung. Red Hat stellt für die Red Hat Enterprise Linux 7 Produktvarianten Desktop, Server, Server for ARM, Scientific Computing, Workstation und Resilient Storage sowie Compute Node und Resilient Storage Extended Update Support (EUS) 7.4 und die Server 7.4 Produktversionen Extended Update Support (EUS), Advanced Update Support (AUS) und Telco Update Support (TUS) Sicherheitsupdates für Samba bereit. Außerdem stehen für die Red Hat Enterprise Linux 6 Produktvarianten Server, Workstation, Desktop und Scientific Computing Sicherheitsupdates für Samba zur Verfügung, welche die Schwachstellen CVE-2017-12150, CVE-2017-12163 und zusätzlich die Schwachstelle CVE-2017-2619, die es einem entfernten, einfach authentisierten Angreifer ermöglicht Informationen auszuspähen, adressieren.

Version 4 (2017-09-25 12:21)

Debian stellt für die stabile Distribution Stretch sowie die vormals stabile Distribution Jessie Backport-Sicherheitsupdates für Samba bereit.

Version 5 (2017-09-27 15:01)

Oracle stellt für Oracle Linux 6 (i386, x86_64) (ELSA-2017-2789) Sicherheitsupdates für Samba 3.x bereit, mit dem die Schwachstellen CVE-2017-2619, CVE-2017-12163 und CVE-2017-12150 adressiert werden. Die Schwachstelle CVE-2017-2619 ermöglicht einem entfernten, einfach authentisierten Angreifer das Ausspähen von Informationen. Ebenfalls für Oracle Linux 6 (i386, x86_64) (ELSA-2017-2791) stehen Sicherheitsupdates für Samba 4 zur Verfügung, mit denen die Schwachstellen CVE-2017-12163 und CVE-2017-12150 behoben werden. Außerdem steht für Oracle Linux 7 (x86_64) (ELSA-2017-2790) ein Sicherheitsupdate für Samba bereit, welches alle in diesem Advisory referenzierten Schwachstellen adressiert.

Version 6 (2017-10-04 15:56)

Für Red Hat Gluster Storage 3.3 für Red Hat Enterprise Linux 6 und 7 stehen Sicherheitsupdates für 'samba' bereit.

Version 7 (2017-10-06 11:46)

Für die SUSE Linux Enterprise 12 SP2 Produkte Software Development Kit, Server for Raspberry Pi, Server, High Availability und Desktop stehen Sicherheitsupdates für 'samba' bereit.

Version 8 (2017-10-11 13:43)

Für die SUSE Linux Enterprise 12 SP3 Produkte Software Development Kit, Server, High Availability und Desktop stehen Sicherheitsupdates für 'samba' bereit.

Version 9 (2017-10-12 14:19)

Für SUSE Linux Enterprise Server 12 LTSS und Enterprise High Availability 12 sowie openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates für 'samba' bereit.

Version 10 (2017-10-13 11:19)

Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP4 und 11 SP3 LTSS sowie Debuginfo 11 SP4 und 11 SP3 stehen Sicherheitsupdates für Samba bereit, welche die Schwachstellen CVE-2017-12150 und CVE-2017-12163 adressieren und zusätzlich einen nicht sicherheitsrelevanten Fehler beheben.

Version 11 (2017-10-16 11:32)

Für die SUSE Linux Enterprise Produkte Server 12 SP1 LTSS und Server for SAP 12 SP1 sowie für SUSE OpenStack Cloud 6 stehen Sicherheitsupdates für Samba bereit, welche neben den Schwachstellen zusätzlich einen nicht sicherheitsrelevanten Fehler beheben.

Version 12 (2017-11-02 17:17)

Canonical stellt für Ubuntu 12.04 LTS (Extended Maintenance Support, ESM) ein Sicherheitsupdate zur Behebung der Schwachstellen CVE-2017-12150 und CVE-2017-12163 in Samba zur Verfügung.

Version 13 (2017-11-10 16:51)

Für verschiedene SUSE Linux Enterprise Produkte, die bereits ein Sicherheitsupdate für 'samba' erhalten haben, steht ein neues Sicherheitsupdate zur Behebung der Schwachstellen ohne nähere Erläuterung zur Verfügung. Betroffen sind SUSE OpenStack Cloud 6, SUSE Linux Enterprise Software Development Kit 12 SP2, SUSE Linux Enterprise Desktop 12 SP2 sowie SUSE Linux Enterprise Server 12 SP1 LTSS, 12 SP2 und die speziellen Varianten SUSE Linux Enterprise Server for Raspberry Pi 12 SP2 und SUSE Linux Enterprise Server for SAP 12 SP1.

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Mehrere Schwachstellen in Samba ermöglichen einem nicht authentisierten, entfernten oder im benachbarten Netzwerk befindlichen Angreifer das Ausspähen von Informationen und das Manipulieren von Daten.

Der Hersteller bestätigt die Schwachstellen für alle Versionen von Samba vor 4.4.15, vor 4.5.14 und vor 4.6.8 und stellt die Versionen 4.4.16, 4.5.14 und 4.6.8 als Sicherheitsupdates zur Verfügung.

Für Fedora 25 und 26 stehen die Pakete 'samba-4.5.14-0.fc25' im Status 'pending' und 'samba-4.6.8-0.fc26' im Status 'testing' zur Verfügung.

Schwachstellen:

CVE-2017-12150

Schwachstelle in Samba ermöglicht Ausspähen und Manipulieren von Daten

CVE-2017-12151

Schwachstelle in Samba ermöglicht Ausspähen und Manipulieren von Daten

CVE-2017-12163

Schwachstelle in Samba ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.