sábado, 21 de junio de 2014

Vulnerabilidades de denegación de servicio en Samba

Se han confirmado dos vulnerabilidades en todas las versiones actuales de Samba, que podrían permitir a un atacante provocar condiciones de denegación de servicio.

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

El primero de los problemas (con CVE-2014-0244) podría permitir que un paquete mal construido provoque que el servidor nmbd consuma todos los recursos de la CPU y evitar el funcionamiento del servicio de nombres netBIOS. Por otra parte, con CVE-2014-3493, podría provocarse una caída de smdb si un cliente autenticado intenta acceder a nombres de rutas unicote válidas con una petición no unicode.

Se han publicado parches para solucionar estas vulnerabilidades en
Adicionalmente, se han publicado las versiones Samba 4.1.9, 4.0.19 y 3.6.24 que corrigen los problemas. Parches para versiones antiguas de Samba están disponibles en http://samba.org/samba/patches/

Más información:

Denial of service - Server crash/memory corruption

Denial of service - CPU loop




Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada