Les versions 4.18.5, 4.17.10 et 4.16.11 de SAMBA+ viennent d'être publiées. Les paquets pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX sont disponibles dès maintenant. Veuillez noter qu'il s'agit de mises à jour de sécurité et que les paquets doivent être déployés dès que possible.
Ces paquets corrigent plusieurs problèmes de sécurité:
- CVE-2022-2127: Lorsque winbind est utilisé pour l'authentification NTLM, une requête malicieusement conçue peut déclencher une lecture hors limites dans winbind et éventuellement le planter.
- CVE-2023-34966: Un bogue de boucle infinie dans le service RPC mdssvc de Samba pour Spotlight peut être déclenché par un attaquant non authentifié en émettant une requête RPC malformée.
- CVE-2023-34967: Une validation de type manquante dans le service RPC mdssvc de Samba pour Spotlight peut être utilisée par un attaquant non authentifié pour déclencher un plantage de processus dans un processus travailleur RPC mdssvc partagé.
- CVE-2023-34968: Dans le cadre du protocole Spotlight, Samba divulgue le chemin absolu côté serveur des partages, des fichiers et des répertoires dans les résultats de recherche.
