SAMBA+ 4.13.16 vient d'être publié. Il s'agit d'une version de sécurité qui corrige CVE-2021-43566. Les paquets sont disponibles pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX.
Toutes les versions du serveur de fichiers Samba antérieures à 4.15.0 sont affectées par CVE-2021-20316. Les versions de Samba antérieures à la version 4.15.0 ne peuvent pas être corrigées.
- CVE-2021-43566 : Une erreur de course Symlink peut permettre la création d'un répertoire en dehors du partage exporté.
https://www.samba.org/samba/security/CVE-2021-43566.html - CVE-2021-20316 : Une erreur de course Symlink peut permettre la lecture et la modification de métadonnées en dehors du partage exporté.
https://www.samba.org/samba/security/CVE-2021-20316.html
Veuillez mettre à jour les systèmes concernés dès que possible. Si possible, passez à la version 4.15 de SAMBA+, sinon consultez les notes de publication pour connaître les mesures d'atténuation possibles pour CVE-2021-20316.
Les paquets SAMBA+ sont disponibles sous forme d'abonnement logiciel. Ils peuvent être achetés dans la boutique SAMBA+. Des informations détaillées et les prix sont indiqués sur https://shop.samba.plus. Les abonnements sont gérés sur notre plateforme OPOSSO (https://oposso.samba.plus). Les utilisateurs peuvent y activer leurs abonnements et gérer leurs identifiants d'accès. Les nouveaux paquets SAMBA+ sont inclus dans les abonnements existants.