De nouveaux paquets SAMBA+ mis à jour 4.16.3-*, 4.15.8-* et 4.14.13-* viennent d'être publiés (les numéros de version exacts sont indiqués ci-dessous). Il s'agit de versions de sécurité importantes, veuillez mettre à jour les systèmes concernés dès que possible. Les paquets sont disponibles pour diverses plates-formes SUSE et Red Hat, ainsi que pour Debian GNU/Linux, Ubuntu et AIX.
Les paquets traitent les problèmes suivants:
- CVE-2022-2031 : les utilisateurs de Samba AD peuvent contourner certaines restrictions associées à la modification des mots de passe.
- CVE-2022-32744 : les utilisateurs de Samba AD peuvent falsifier les demandes de changement de mot de passe pour n'importe quel utilisateur.
- CVE-2022-32745 : les utilisateurs de Samba AD peuvent planter le processus du serveur avec une requête d'ajout ou de modification LDAP.
- CVE-2022-32746 : les utilisateurs de Samba AD peuvent induire un use-after-free dans le processus du serveur avec une requête d'ajout ou de modification LDAP.
- CVE-2022-32742 : fuite d'informations sur la mémoire du serveur via SMB1.
Les premières versions avec les correctifs :
- (SuSE, RedHat, ...): 4.16.3-18, 4.15.8-15 et 4.14.13-16
- Debian/Ubuntu: 4.16.3-18, 4.15.8-16 et 4.14.13-16
- AIX: 4. 16.3-2, ; 4.15.8-6 ; et 4.14.13-11
Les paquets avec les versions amont officielles 4.16.4, 4.15.9 et 4.14.14 suivront dans les prochains jours.