1. 主页
  2. 保安警报
  3. 保安警报 (A22-01-23)

高危保安警报 (A22-01-23): Samba 多个漏洞


 

发布日期: 2022年 2月 4日

  
  

描述:

Samba 发布了安全性更新以应对于 Samba 中的多个漏洞。有关漏洞及攻击向量的资料,请参阅供货商网站的相应安全公告。

有报告指堆阵超出范围 (out-of-bounds) 读/写漏洞 (CVE-2021-44142) 正处于很高的网络攻击风险,影响被广泛使用的 Linux 发行版,例如 RedHat、SUSE 及 Ubuntu。远程攻击者可以利用漏洞,于使用 VFS 模块 vfs_fruit 的 Samba 安装上执行任意程序代码。系统管理员应立即为受影响的系统安装修补程序,以减低受到网络攻击的风险。

 

受影响的系统:

  •  Samba 4.13.17、4.14.12 及 4.15.5 之前的版本

我们强烈建议用户向产品供货商咨询其 Linux 系统是否受影响。

 

影响:

成功利用漏洞可以在受影响的系统导致远程执行程序代码、服务受阻断、泄漏信息或仿冒诈骗。

 

建议:

适用于受影响系统的软件更新或修补程序已可获取。受影响系统的管理员应遵从产品供货商的建议,立即采取行动以降低风险。

  • https://www.samba.org/samba/history/samba-4.15.5.html
  • https://www.samba.org/samba/history/samba-4.14.12.html
  • https://www.samba.org/samba/history/samba-4.13.17.html

一些 Linux 发行版,例如 RedHat、SUSE 及 Ubuntu,已提供了解决措施。以下仅为一些受影响Linux 发行版系统的例子,并不包括所有受影响的系统。我们强烈建议用户咨询产品供货商以确定其使用的 Linux 系统是否受到影响。系统管理员应向产品供货商确认其 Linux 系统是否受影响及修补程序的情况。若修补程序已提供,系统管理员应立即安装及遵从产品供货商的建议以降低风险。

  • openSUSE
    https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/72ZRNFZ3DE3TJA7HFCVV476YJN6I4B5M/
    https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/K7LELM65YZ36YQVKZDECL77ZYNXAWR6D/
    https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/RB554CLNYEUAEMABV3LV3T5P4BYDLS7H/
  • Oracle Linux
    https://linux.oracle.com/errata/ELSA-2022-0328.html
    https://linux.oracle.com/errata/ELSA-2022-0332.html
  • RedHat
    https://access.redhat.com/security/cve/CVE-2021-44142
  • SUSE
    https://www.suse.com/security/cve/CVE-2021-44141.html
    https://www.suse.com/security/cve/CVE-2021-44142.html
    https://www.suse.com/security/cve/CVE-2022-0336.html
  • Ubuntu
    https://ubuntu.com/security/CVE-2021-44142
    https://ubuntu.com/security/CVE-2022-0336

 

进一步信息:

  • https://www.samba.org/samba/security/CVE-2021-44141.html
  • https://www.samba.org/samba/security/CVE-2021-44142.html
  • https://www.samba.org/samba/security/CVE-2022-0336.html
  • https://www.hkcert.org/tc/security-bulletin/samba-multiple-vulnerabilities_20220204
  • https://kb.cert.org/vuls/id/119678
  • https://www.cisa.gov/uscert/ncas/current-activity/2022/02/01/samba-releases-security-updates
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44141
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44142
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0336

 



标签 : Linux , Samba
标签