Критическая уязвимость CVE-2017-14746 в Samba 4.x позволяет удалённо выполнять код

Вчера в почтовой рассылке проекта свободной реализации протоколов SMB/CIFS — Samba — были представлены релизы 4.7.3, 4.6.11 и 4.5.15, исправляющие две уязвимости в коде.

Первая уязвимость в Samba — CVE-2017-14746 — может привести к серьёзным последствиям, поскольку ошибка типа use-after-free (использование памяти после её очистки) в реализации протокола SMB1, используемой во всех версиях Samba 4.x, позволяет удалённому пользователю без аутентификации отправить специальный запрос к серверу, который вызовет его падение или исполнит произвольный код. В качестве временного решения (до установки патчей/новой версии Samba) возможно запретить использование SMB1, выставив директиву «server min protocol = SMB2».

Логотип Samba
Логотип Samba / Иллюстрация с сайта En.Wikipedia.Org

В Red Hat проблеме CVE-2017-14746 присвоили «важную» категорию (important) и сообщили о том, что она затрагивает пакет samba в Red Hat Gluster Storage 3.3 и Red Hat Enterprise Linux 7, а также пакет samba4 в Red Hat Enterprise Linux 6.

Вторая проблема — CVE-2017-15275 — затрагивает релизы Samba 3.6.0 и выше, потенциально приводит к возможности утечки информации, однако известных уязвимостей, которые бы её эксплуатировали, пока нет.

Дмитрий Шурупов по материалам samba.org, samba.org, Red Hat Customer Portal.




!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
ОС Ubuntu будет следить за пользователямиОС Ubuntu будет следить за пользователями
Google сообщил о серьёзной уязвимости в браузере Microsoft EdgeGoogle сообщил о серьёзной уязвимости в браузере Microsoft Edge
В uTorrent нашли уязвимость, которая позволяет сайтам получать контроль над ПК
Международный отчет ИИ-талантов: в Украине работает 35 экспертов в области искусственного интеллекта
Ошибка в файловой системе Apple приводит к потере данных в macOS High SierraОшибка в файловой системе Apple приводит к потере данных в macOS High Sierra
Блок рекламы


Похожие новости

В uTorrent нашли уязвимость, которая позволяет сайтам получать контроль над ПК
В большинстве процессоров Intel нашли уязвимость. Ее решение требует изменений в ядрах ОС и понижает производительность
В Windows 10 нашли важную уязвимостьВ Windows 10 нашли важную уязвимость
В Apple HomeKit найдена опасная уязвимостьВ Apple HomeKit найдена опасная уязвимость
Уязвимость: на macOS High Sierra можно получить права администратора не зная пароля
В программе CCleaner обезврежена уязвимость – киберполицияВ программе CCleaner обезврежена уязвимость – киберполиция
Red Hat исправила 3 уязвимости в Ansible, одна из которых позволяет выполнять код на сервереRed Hat исправила 3 уязвимости в Ansible, одна из которых позволяет выполнять код на сервере
Уязвимостью SambaCry воспользовались для майнинга криптовалюты Monero на Linux-компьютерахУязвимостью SambaCry воспользовались для майнинга криптовалюты Monero на Linux-компьютерах
Уязвимость CVE-2017-7494 в Samba позволяет исполнять произвольный код на удалённой системеУязвимость CVE-2017-7494 в Samba позволяет исполнять произвольный код на удалённой системе
Во всех версиях Word обнаружена опасная уязвимость «нулевого дня»Во всех версиях Word обнаружена опасная уязвимость «нулевого дня»
Последние новости

Подгружаем последние новости