Новые выпуски Samba 4.1.1, 4.0.11 и 3.6.20 с устранением уязвимостей
Представлены корректирующие выпуски Samba 4.1.1, 4.0.11 и 3.6.20, в которых устранены две уязвимости: CVE-2013–4475 — возможность обхода ограничений ACL через открытие альтернативных потоков данных для файлов или директорий. По умолчанию альтернативные потоки данных не поддерживаются, но могут быть сконфигурированы при помощи VFS-модулей vfs_streams_depot и vfs_streams_xattr. Проблеме подвержены ветки 3.2.x, 3.3.x, 3.4.x, 3.5.x, 3.6.x, 4.0.x и 4.1.x, при условии активации «streams_depot» или «streams_xattr» в smb.conf; CVE-2013–4476 — размещение закрытого ключа в файле (key.pem) с правами, допускающими чтение любым локальным пользователем в системе. Проблеме подвержены выпуски 4.x, использующие SSL/TLS-шифрование для сервисов ldap (s) и https;
© OpenNet
