Vulnérabilité dans Samba

Gestion du document

Référence	CERTA-2010-AVI-429-001
Titre	Vulnérabilité dans Samba
Date de la première version	14 septembre 2010
Date de la dernière version	21 septembre 2010
Source(s)	Annonce de la version Samba 3.5.5
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Samba 3.5.4 et versions précédentes.

Résumé

Un débordement de mémoire est présent dans le serveur Samba et peut être exploité par un utilisateur malveillant pour exécuter du code arbitraire à distance.

Description

Le serveur Samba ne vérifie pas correctement les identifiants Windows (SID). Ce défaut peut être utilisé pour provoquer un débordement de mémoire par un utilisateur malveillant et exécuter du code arbitraire à distance.

Solution

La version 3.5.5 de Samba corrige ce problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Annonce de la version Samba 3.5.5 du 14 septembre 2010 :
```
http://us1.samba.org/samba/history/samba-3.5.5.html
```
Bulletin de sécurité Samba CVE-2010-2069 du 14 septembre 2010 :
```
http://us1.samba.org/samba/security/CVE-2010-2069.html
```
Bulletin de sécurité Debian DSA-2109 du 16 septembre 2010 :
```
http://www.debian.org/security/2010/dsa-2109
```

Référence CVE CVE-2010-3069 :

https://www.cve.org/CVERecord?id=CVE-2010-3069

Gestion détaillée du document

le 14 septembre 2010: version initiale.

le 21 septembre 2010: ajout de la référence au bulletin Debian.

Avis du CERT-FR

Objet: Vulnérabilité dans Samba