Обновление Samba 4.9.3, 4.8.7 и 4.7.12 с устранением 6 уязвимостей

Подготовлены корректирующие выпуски пакета Samba 4.9.3, 4.8.7 и 4.7.12, в которых устранено несколько уязвимостей:

  • CVE-2018-14629 - непривилегированный пользователь может инициировать зацикливание встроенного DNS-сервера через создание определённым образом оформленной CNAME-записи при помощи утилиты ldbadd;
  • CVE-2018-16841 - двойное освобождение блока памяти (double-free) при выполнении аутентификации с использованием смарт-карты может привести к краху процесса KDC в случае использования корректного сертификата, не соответствующего ожидаемому значению принципала в AS-REQ;
  • CVE-2018-16851 - разыменование нулевого указателя в коде LDAP-сервера Samba AD DC может привести к завершению работы сервиса LDAP при обработке определённым образом оформленных поисковых LDAP-запросов, результат которых превышает 256MB;
  • CVE-2018-16852 - разыменование нулевого указателя в коде DNS-сервера Samba AD DC может привести к завершению работы встроенного DNS-сервера при обработке данных из специально оформленной DNS зоны;
  • CVE-2018-16853 - действия пользователя домена Samba AD могут привести к краху KDC в случае сборки MIT Kerberos с нестандартными настройками;
  • CVE-2018-16857 - неработоспособность кода противодействия подбору паролей при bruteforcе-атаке, длительностью более трёх минут.


11/27/2018 18:35:37
0

комментарии (0)