Les paquets SAMBA+ 4.12.4, 4.11.11 et 4.10.17 viennent d'être publiés par SerNet. Il s'agit de versions de sécurité importantes, veuillez mettre à jour les systèmes concernés dès que possible. Les paquets sont disponibles pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux et Ubuntu.
Ces paquets corrigent les problèmes suivants:
CVE-2020-10730: déréférencement du pointeur NULL et utilisation après libération dans le serveur LDAP Samba AD DC avec ASQ, VLV et paged_results.
Un client combinant les contrôles LDAP 'ASQ' et 'VLV' peut causer un déréférencement de pointeur NULL et d'autres combinaisons avec la fonction LDAP paged_results peuvent donner un use-after-free dans le serveur LDAP AD DC de Samba.
CVE-2020-10745: L'analyse et l'emballage des paquets NBT et DNS peuvent consommer une quantité excessive de CPU.
La compression des réponses à la résolution de noms NetBIOS sur TCP/IP et des paquets DNS (qui peuvent être fournis en tant que requêtes UDP) peut être utilisée de manière abusive pour consommer des quantités excessives de CPU sur le DC AD de Samba (uniquement).
CVE-2020-10760: LDAP Use-after-free dans le catalogue global de Samba AD DC avec paged_results et VLV.
L'utilisation des contrôles paged_results ou VLV contre le serveur LDAP Global Catalog sur le DC AD provoquera un use-after-free.
CVE-2020-14303: DoS de paquets UDP vides dans Samba AD DC nbtd.
Le serveur NBT AD DC dans Samba 4.0 entrera dans une rotation du CPU et ne traitera pas d'autres requêtes lorsqu'il recevra un paquet UDP vide (de longueur nulle) sur le port 137.
Les paquets SAMBA+ 4.12.5 seront bientôt disponibles.
Les paquets SAMBA+ et toutes les versions ultérieures sont disponibles sous forme d'abonnement logiciel. Ils peuvent être achetés dans la boutique SAMBA+, des informations détaillées et les prix sont indiqués sur https://shop.samba.plus. Les abonnements sont gérés sur notre plateforme OPOSSO (https://oposso.samba.plus). Les utilisateurs peuvent y activer leurs abonnements et gérer leurs identifiants d'accès. Les nouveaux paquets SAMBA+ sont inclus dans les abonnements existants.