Se
han publicado nuevas versiones de Samba,
destinadas a solucionar tres vulnerabilidades que podrían permitir a un
atacante ejecutar código de forma remota
o elevar privilegios en los sistemas afectados.
Samba es un software gratuito que
permite acceder y utilizar archivos, impresoras y otros recursos compartidos en
una intranet o en Internet. Está soportado por una gran variedad de sistemas
operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB
(Server Message Block) y CIFS
(Common Internet File System).
El primero de los problemas (con CVE-2016-2123)
reside en un desbordamiento de búfer en ndr_pull_dnsp_name al tratar objetos Samba
NDR (Network Data Representation). Por otra parte, con CVE-2016-2125,
una elevación de privilegios en servidores Kerberos en sitios de confianza. Y
por último, con CVE-2016-2126,
fallos en la validación PAC de Kerberos que podrían permitir elevar privilegios
a usuarios locales.
Se han publicado las versiones
Samba 4.5.3, 4.4.8 y 4.3.13 que corrigen los problemas.
Adicionalmente, se han publicado
parches para solucionar estas vulnerabilidades:
Para Samba 4.5.2:
Para Samba 4.4.7:
Para Samba 4.3.12:
Más información:
Samba 4.5.3, 4.4.8 and 4.3.13 Security Releases
Available for Download
Samba NDR Parsing ndr_pull_dnsp_name Heap-based
Buffer Overflow Remote Code Execution Vulnerability
Unconditional privilege delegation to Kerberos
servers in trusted realms
Samba 4.5.3 Available for Download
Samba 4.4.8 Available for Download
Samba 4.3.13 Available for Download
Antonio Ropero
Twitter: @aropero
