Numéro : AV17-073
Date : Le 25 mai 2017
Objet
Le but de cet avis est d'attirer l'attention sur la mise à jour de sécurité récemment publié pour Samba.
Évaluation
Samba a publié une nouvelle version 4.7.5 qui contient plusieurs correctifs de sécurité afin d'adresser une vulnérabilité. L’exploitation de cette vulnérabilité pourrait permettre à un client malicieux de téléverser une librairie partagée dans une zone accessible en écriture et provoquer l’exécution de celle-ci par le serveur.
Versions affectées:
- Samba 3.5.0 à 4.6.3 (pour les versions 4.6.x)
- Samba 3.5.0 à 4.5.9 (pour les versions 4.5.x)
- Samba 3.5.0 à 4.4.13 (pour les versions 4.4.x)
Des considérations spéciales et revues devraient être conduites pour des appareils connectés à internet qui peuvent être en possession d’une version vulnérable de Samba, ce qui inclus sans s’y limité à : DVRs, routeurs et caméras IP. La mise à jour du micro logiciel de ces types d’appareils peut être disponible seulement que par des mises à jour fournit par le vendeur.
Mesure suggérée
Le CCRIC recommande que les administrateurs de système mettent à l'essai et déploient les mises à jour diffusées par le fournisseur aux applications concernées d’appliquer les solutions de contournement à plates-formes concernées en conséquence.
Références
https://lists.samba.org/archive/samba-announce/2017/000406.html (en Anglais)