quando o Ubuntu estará atualizando o samba v4.3.11 para o bug que acabou de ser descoberto?

5

Foi anunciado ontem que há um novo e sério bug do Samba. Informações sobre isso podem ser encontradas aqui:

link

"No CVE-2017-7494, um cliente mal-intencionado pode" carregar uma biblioteca compartilhada em um compartilhamento gravável e fazer com que o servidor a carregue e execute. ""

No meu servidor 16.04 LTS, eu corri 'samba --version "e voltei: 4.3.11

Quando eu segui o link no artigo para o site do Samba, ele indica correções para algumas versões, mas não para o Samba 4.3.11. Alguém sabe quando o Ubuntu / Canonical estará disponibilizando uma atualização para o Samba?

    
por David Allie 25.05.2017 / 14:04

2 respostas

5

Veja CVE-2017-7494 e USN 3296-1 . Correção foi liberada, exceto para 17.10. As diretrizes sobre atualização são

$ sudo apt-get update
$ sudo apt-get dist-upgrade

Mas, quando isso é liberado, não sabemos. O mais rápido possível é o melhor que você consegue. Embora eu suponha que já deveria ... é visto como uma "questão de alta segurança".

===

É:

Setting up samba-vfs-modules (2:4.5.8+dfsg-0ubuntu0.17.04.2) ...

foi o que obtive quando fiz o upgrade.

    
por Rinzwind 25.05.2017 / 14:14
0

Com base em uma sugestão que recebi do meu post em ubuntuforums.org :

Eu apenas corri o 'apt changelog samba' por sugestão e ele realmente parece (se eu o ler corretamente) ele já foi corrigido. Eu simplesmente não me lembro de ver isso, mas estou feliz que tenha sido corrigido. Isso é o que eu consegui:

samba (2:4.3.11+dfsg-0ubuntu0.16.04.7) xenial-security; urgency=medium

  * SECURITY UPDATE: remote code execution from a writable share
    - debian/patches/CVE-2017-7494.patch: refuse to open pipe names with a
      slash inside in source3/rpc_server/srv_pipe.c.
    - CVE-2017-7494

 -- Marc Deslauriers <[email protected]>  Fri, 19 May 2017 14:18:13 -0400

Obrigado novamente por sua ajuda!

    
por David Allie 25.05.2017 / 15:24