web-dev-qa-db-fra.com

Quand Ubuntu mettra-t-il à jour Samba v4.3.11 pour le bogue qui vient d'être découvert?

Il a été annoncé hier qu'il y avait un nouveau et sérieux bogue Samba. Des informations à ce sujet peuvent être trouvées ici:

http://www.theregister.co.uk/2017/05/25/fatthumbed_dev_slashes_samba_security/

"Dans CVE-2017-7494, un client malveillant peut" télécharger une bibliothèque partagée sur un partage accessible en écriture, puis faire en sorte que le serveur soit chargé et exécuté. ""

Sur mon serveur 16.04 LTS, j'ai exécuté 'samba --version "et je suis rentré: 4.3.11

Lorsque j'ai suivi le lien de l'article vers le site Web de Samba, cela indique des correctifs pour certaines versions, mais pas pour Samba 4.3.11. Est-ce que quelqu'un sait quand Ubuntu/Canonical fera une mise à jour pour Samba à notre disposition?

5
David Allie

Voir CVE-2017-7494 et SN 3296-1 . Le correctif a été publié sauf pour 17.10. Les directives sur la mise à jour sont

$ Sudo apt-get update
$ Sudo apt-get dist-upgrade

Mais, quand cela est publié, nous ne le savons pas. Le plus tôt possible est le meilleur que vous puissiez obtenir. Bien que je suppose que cela devrait déjà être ... c'est considéré comme un "problème de haute sécurité".

===

Il est:

Setting up samba-vfs-modules (2:4.5.8+dfsg-0ubuntu0.17.04.2) ...

c'était ce que j'ai eu quand j'ai dist-amélioré.

5
Rinzwind

D'après une suggestion que j'ai reçue de mon message sur ubuntuforums.org :

Je viens de lancer 'apt changelog samba' par suggestion et il a effectivement l'air (si je le lis correctement) il a déjà été corrigé. Je ne me souviens tout simplement pas de l'avoir vu, mais je suis heureux qu'il soit corrigé. C'est ce que j'ai eu:

samba (2:4.3.11+dfsg-0ubuntu0.16.04.7) xenial-security; urgency=medium

  * SECURITY UPDATE: remote code execution from a writable share
    - debian/patches/CVE-2017-7494.patch: refuse to open pipe names with a
      slash inside in source3/rpc_server/srv_pipe.c.
    - CVE-2017-7494

 -- Marc Deslauriers <[email protected]>  Fri, 19 May 2017 14:18:13 -0400

Merci encore pour votre aide!

0
David Allie