Vulnerability Bulletins |
Publicación parche de seguridad en Samba |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Integridad |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software | Versión 4.0.0 |
Description |
|
|
Samba es una implementación libre del protocolo de compartición de archivos Microsoft para sistemas de UNIX. Se ha corregido un problema de salto de restricciones que podría permitir a un atacante obtener recursos que no le corresponden y eludir controles de seguridad. Samba puede utilizarse como controlador de dominio en un entorno de directorio activo. En este entorno, Samba comete un error al manejar ciertos permisos de los usuarios. En el caso en el que los permisos estén basados en el atributo objectClass del objeto (fichero, directorio, impresora...) del directorio LDAP, el atacante podrá obtener permisos de escritura en ese objeto. Si además tiene permisos para acceder a algún atributo del objeto, podrá escribir cualquier atributo. |
|
Solution |
|
|
Se ha publicado la versión 4.0.1 para solucionar el problema, además de un parche para aplicar sobre la versión 4.0.0 disponible desde http://www.samba.org/samba/security/ |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2013-0172 |
| BID | |
Other resources |
|
|
Hispasec http://unaaldia.hispasec.com/2013/01/salto-de-restricciones-en-samba-4.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+hispasec%2FzCAd+%28%40unaaldia%29 Página oficial de Samba http://www.samba.org/samba/security/CVE-2013-0172 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2013-01-16 |