Risque
Accès non autorisé.
Systèmes affectés
Les versions de samba antérieures à la version 3.0.
Résumé
Une vulnérabilité a été découverte dans le serveur samba sous linux.
Description
Samba est un logiciel libre, open source, utilisé pour la mise en œuvre des partages réseau à l'aide des protocoles SMB et CIF sous Unix. Le script mksmbpasswd.sh
permet d'engendrer les fichiers des mots de passe des utilisateurs samba (smbpasswd) à partir du fichier passwd
. Une vulnérabilité présente dans la création des comptes à l'aide du script mksmbpassd.sh
permet à un utilisateur mal intentionné d'accèder à un compte utilisateur légitime sans autorisation.
Solution
Mettre à jour le logiciel samba avec la version 3.0.2.
Bulletin samba :
- Avis de sécurité Samba :
http://www.samba.org/samba/whatsnew/samba-3.0.2.html
- Avis de sécurité RedHat RHSA-2004:064 du 21 mai 2004 :
http://rhn.redhat.com/errata/RHSA-2004-064.html
- Avis de sécurité FreeBSD du 15 avril 2004 :
http://www.vuxml.org/freebsd/
Documentation
- Référence CVE CAN-2004-0082 :
https://www.cve.org/CVERecord?id=CAN-2004-0082