Die SAMBA+ Software-Pakete 4.12.2, 4.11.8 und 4.10.15 wurden soeben von SerNet veröffentlicht. Dies sind wichtige Sicherheitsversionen, bitte aktualisieren Sie die betroffenen Systeme so schnell wie möglich. Die Pakete sind für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux und Ubuntu verfügbar.
Die Pakete greifen die folgenden Probleme auf:
CVE-2020-10700: Use-after-free in Samba AD DC LDAP Server with ASQ
A client combining the 'ASQ' and 'Paged Results' LDAP controls can cause a use-after-free in Samba's AD DC LDAP server.
CVE-2020-10704: LDAP Denial of Service (stack overflow) in Samba AD DC
A deeply nested filter in an un-authenticated LDAP search can exhaust the LDAP server's stack memory causing a SIGSEGV.
Außerdem sind die SAMBA+ Long Term Support Pakete für die SAMBA+ LTS 4.9, 4.8 und 4.7 Release-Reihe verfügbar. Diese Versionen enthalten Korrekturen für CVE-2020-10704. Von CVE-2020-10700 sind diese Versionen nicht betroffen.
SAMBA+ Pakete und alle späteren Versionen sind als Software-Subskriptionen verfügbar. Diese können im SAMBA+ Shop erworben werden. Weitere Informationen und Preise sind auf https://shop.samba.plus aufgelistet. Die Subskriptionen werden auf unserer Platfform OPOSSO (https://oposso.samba.plus) verwaltet. BenutzerInnen können dort ihre Subskription aktivieren und ihre Passwörter verwalten. Neue SAMBA+ Versionen sind in der Subskription enthalten.