2017-2095: Samba: Zwei Schwachstellen ermöglichen u.a. das Ausspähen von Informationen

Historie:

Version 1 (2017-11-21 17:25)

Neues Advisory

Version 2 (2017-11-22 11:14)

Debian stellt für die Distributionen Jessie 8.9 (oldstable) und Stretch 9.2 (stable) verschiedene Backport-Sicherheitsupdates für das Paket 'samba' zur Behebung der beiden Schwachstellen zur Verfügung. Canonical stellt für die Distribution 12.04 LTS Precise Pangolin ein Backport-Sicherheitsupdate für Samba in Form des Paketes '2:3.6.25-0ubuntu0.12.04.14' zur Behebung der Schwachstelle CVE-2017-15275 zur Verfügung. Von der Schwachstelle CVE-2017-14746 ist diese Samba-Version nicht betroffen.

Version 3 (2017-11-27 11:08)

Für Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für Samba zur Behebung der Schwachstellen zur Verfügung. Red Hat behebt die Schwachstellen für verschiedene Red Hat Enterprise Linux 7 Produktvarianten und den Red Hat Gluster Storage Server for On-premise 3 für Red Hat Enterprise Linux 6 und 7. SUSE stellt für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP2, Server for SAP 12 SP1, Server for Raspberry Pi 12 SP2, Server 12 SP2 und 12 SP1 LTSS, High Availability 12 SP1 und Desktop 12 SP2 sowie OpenStack Cloud 6 Sicherheitsupdates bereit.

Version 4 (2017-11-28 11:03)

SUSE stellt weitere Sicherheitsupdates für die SUSE Linux Enterprise 12 SP2 Produkte Software Development Kit, Server for Raspberry Pi, Server, High Availability und Desktop zur Verfügung.

Version 5 (2017-11-29 13:36)

Red Hat stellt Sicherheitsupdates für die Red Hat Enterprise Linux 6 Produkte Server, Desktop, Workstation und for Scientific Computing zur Verfügung.

Version 6 (2017-11-29 17:44)

Für Oracle Linux 6 (i386, x86_64) stehen ebenfalls Sicherheitsupdates zur Behebung dieser Schwachstellen bereit.

Version 7 (2017-11-30 11:35)

Für openSUSE Leap 42.2 steht ein Sicherheitsupdate für Samba zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Zwei Schwachstellen in Samba ermöglichen einem nicht authentisierten Angreifer im benachbarten Netzwerk über das SMB1-Protokoll (Sever-Message-Block Version 1.0) die Kompromittierung des SMB-Servers, und damit vermutlich das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes, sowie das Ausspähen von Informationen aus dem Heap-Speicher.

Der Hersteller bestätigt die Schwachstellen und stellt Patches sowie die neuen Versionen 4.5.15, 4.6.11 und 4.7.3 als Sicherheitsupdates zur Verfügung.

Fedora stellt für die Distribution Fedora 26 ein Sicherheitsupdate für das Paket 'samba' auf Version 4.6.11 und für Fedora 27 auf Version 4.7.3 zur Behebung der Schwachstellen bereit, welche sich derzeit noch im Status 'pending' befinden.

Canonical stellt für die Distributionen 17.10 Artful Aardvark, Ubuntu 17.04 Zesty Zapus, Ubuntu 16.04 LTS Xenial Xerus und Ubuntu 14.04 LTS Trusty Tahr verschiedene Backport-Sicherheitsupdates für das Paket 'samba' zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2017-14746

Schwachstelle in Samba ermöglicht Kompromittierung des Server-Message-Block-Servers

CVE-2017-15275

Schwachstelle in Samba ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.