Samba 4.1.9 released

Sono stati rilasciati Samba 4.1.9, 4.0.19 e 3.6.24; questo rilascio è importante in quanto implementa patch di sicurezza per il CVE-2014-0244 (Denial of service – CPU loop) e per il CVE-2014-3493 (Denial of service – Server crash/memory corruption).

In particolare:

• CVE-2014-0244:

Tutte le versioni di samba rilasciate sono vulnerabili ad un attacco ti tipo denial of service sul demone di risoluzione dei nomi NetBIOS. Un pacchetto costruito ad-hoc può causare nel server nmbd il loop della CPU e bloccare richieste successive di risoluzione di nomi NetBIOS.

• CVE-2014-3493:

Tutte le versioni di samba rilasciate sono vulnerabili ad un attacco ti tipo denial of service sul demone smbd. I percorsi ai nomi dei file Unicode validi memorizzati su disco possono portare smbd al crash se un client autenticato  tenta di leggerli  utilizzando una richiesta non unicode.

Al momento questa falla non è sfruttabile da un aggressore in quanto non c’è modo di controllare l’area esatta di memoria da sovrascrivere

Potete trovare le release note dei rilasci delle varie versioni samba a questi indirizzi:

• http://www.samba.org/samba/history/samba-4.1.9.html
• http://www.samba.org/samba/history/samba-4.0.19.html
• http://www.samba.org/samba/history/samba-3.6.24.html

Potetre scaricare i sorgenti da quest’indirizzo:

• http://download.samba.org/samba/ftp/stable/

Potete trovare i poackage binari creati da volonbtari a quest’indirizzo:

• http://download.samba.org/samba/ftp/Binary_Packages/