请尽快更新Samba服务器以修补密码重置漏洞和DoS漏洞

Samba维护人员刚刚发布了Samba的新版本,以修补两个关键的漏洞,这些漏洞可能允许无特权的远程攻击者启动针对服务器的DoS攻击,并可以更改任何其他用户的密码,包括admin。

Samba是一种开源软件(重新实现SMB网络协议),它运行在当今可用的大多数操作系统上,包括Windows、Linux、UNIX、IBM System 390和OpenVMS。

Samba允许非Windows操作系统(如GNU / Linux或Mac OS X)与Windows操作系统共享网络文件夹和打印机。
CVE-2018-1050的拒绝服务漏洞影响从4.0.0开始的所有Samba版本,并且可能会在RPC spoolss服务配置为外部守护程序运行时被利用。

第二个漏洞CVE-2018-1057,允许非特权认证用户通过LDAP更改任何其他用户的密码,包括管理员用户。
从4.0.0开始,所有Samba版本都存在密码重置漏洞,但仅适用于Samba Active Directory DC实施,因为它在用户请求通过LDAP修改密码时未正确验证用户的权限。

大量的服务器可能存在风险,因为Samba拥有广泛的Linux发行版。

Samba的维护者在新的Samba版本4.7.6、4.6.14、4.5.16版本中都解决了这两个漏洞,并建议管理员立即更新脆弱的服务器。

*本文由华盟网翻译,转载请标明转自华盟网

本文由 华盟网 作者:hoxton 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

2

发表评论

// 360自动收录 // 360自动收录