1. 主頁
  2. 保安警報
  3. 保安警報 (A22-01-23)

高危保安警報 (A22-01-23): Samba 多個漏洞


 

發布日期: 2022年 2月 4日

  
  

描述:

Samba 發布了安全性更新以應對於 Samba 中的多個漏洞。有關漏洞及攻擊向量的資料,請參閱供應商網站的相應安全公告。

有報告指堆陣超出範圍 (out-of-bounds) 讀/寫漏洞 (CVE-2021-44142) 正處於很高的網絡攻擊風險,影響被廣泛使用的 Linux 發行版本,例如 RedHat、SUSE 及 Ubuntu。遠端攻擊者可以利用漏洞,於使用 VFS 模組 vfs_fruit 的 Samba 安裝上執行任意程式碼。系統管理員應立即為受影響的系統安裝修補程式,以減低受到網絡攻擊的風險。

 

受影響的系統:

  •  Samba 4.13.17、4.14.12 及 4.15.5 之前的版本

我們強烈建議用戶向產品供應商諮詢其 Linux 系統是否受影響。

 

影響:

成功利用漏洞可以在受影響的系統導致遠端執行程式碼、服務受阻斷、泄漏資訊或仿冒詐騙。

 

建議:

適用於受影響系統的軟件更新或修補程式已可獲取。受影響系統的管理員應遵從產品供應商的建議,立即採取行動以降低風險。

  • https://www.samba.org/samba/history/samba-4.15.5.html
  • https://www.samba.org/samba/history/samba-4.14.12.html
  • https://www.samba.org/samba/history/samba-4.13.17.html

一些 Linux 發行版本,例如 RedHat、SUSE 及 Ubuntu,已提供了解決措施。以下僅為一些受影響Linux 發行版本系統的例子,並不包括所有受影響的系統。我們強烈建議用戶諮詢產品供應商以確定其使用的 Linux 系統是否受到影響。系統管理員應向產品供應商確認其 Linux 系統是否受影響及修補程式的情況。若修補程式已提供,系統管理員應立即安裝及遵從產品供應商的建議以降低風險。

  • openSUSE
    https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/72ZRNFZ3DE3TJA7HFCVV476YJN6I4B5M/
    https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/K7LELM65YZ36YQVKZDECL77ZYNXAWR6D/
    https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/RB554CLNYEUAEMABV3LV3T5P4BYDLS7H/
  • Oracle Linux
    https://linux.oracle.com/errata/ELSA-2022-0328.html
    https://linux.oracle.com/errata/ELSA-2022-0332.html
  • RedHat
    https://access.redhat.com/security/cve/CVE-2021-44142
  • SUSE
    https://www.suse.com/security/cve/CVE-2021-44141.html
    https://www.suse.com/security/cve/CVE-2021-44142.html
    https://www.suse.com/security/cve/CVE-2022-0336.html
  • Ubuntu
    https://ubuntu.com/security/CVE-2021-44142
    https://ubuntu.com/security/CVE-2022-0336

 

進一步資訊:

  • https://www.samba.org/samba/security/CVE-2021-44141.html
  • https://www.samba.org/samba/security/CVE-2021-44142.html
  • https://www.samba.org/samba/security/CVE-2022-0336.html
  • https://www.hkcert.org/tc/security-bulletin/samba-multiple-vulnerabilities_20220204
  • https://kb.cert.org/vuls/id/119678
  • https://www.cisa.gov/uscert/ncas/current-activity/2022/02/01/samba-releases-security-updates
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44141
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44142
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0336

 



標籤 : Linux , Samba
標籤