关于Samba拒绝服务漏洞和修改任意用户密码漏洞

亲爱的创新互联建站用户:

创新互联专注为客户提供全方位的互联网综合服务,包含不限于做网站、成都网站建设、米易网络推广、小程序开发、米易网络营销、米易企业策划、米易品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们大的嘉奖;创新互联为所有大学生创业者提供米易建站搭建服务,24小时服务热线:18980820575,官方网址:www.cdcxhl.com

您好!近日Samba官方发布新补丁和安全公告,Samba4.0.0开始的所有版本存在拒绝服务漏洞(CVE-2018-1050)和修改任意用户密码的漏洞(CVE-2018-1057),目前官方补丁及修复版本已放出。建议您检查是否使用了受影响版本,如受影响请建议尽快升级修复。

漏洞名称

1.拒绝服务漏洞(CVE-2018-1050)

2.修改任意用户密码漏洞(CVE-2018-1057)

漏洞危害等级

高危

影响版本

影响Samba4.0.0以上所有版本

漏洞描述

1. CVE-2018-1050:

在smb.conf中,如果rpc_server:spoolss被配置成external,由于缺少对调用spoolssRPC的传入参数检查,可能导致打印后台处理服务崩溃,造成拒绝服务攻击。

2.CVE-2018-1057:

4.0.0版本以上的Samba4ADDC域环境下,LDAP服务器对修改密码的权限配置错误,导致经过LDAP验证过的用户可以改变其他用户的密码,包括管理员用户和特权服务账户(例如域控制器)。

漏洞编号

CVE-2018-1050

CVE-2018-1057

修复方案

1. 请受影响用户及时更新官方补丁,或者更新到已修复版本。补丁地址:http://www.samba.org/samba/security/

2. 针对CVE-2018-1050,保证smb.conf中rpc_server:spoolss不被设置成external

相关链接

1.https://www.samba.org/samba/security/CVE-2018-1050.html

2.https://www.samba.org/samba/security/CVE-2018-1057.html

3.https://wiki.samba.org/index.php/CVE-2018-1057


再次感谢您对创新互联建站的理解与支持!


夏邑畅行网络技术有限公司

2018/03/21


当前文章:关于Samba拒绝服务漏洞和修改任意用户密码漏洞
路径分享:http://pwwzsj.com/article/dihhh.html