Samba 3.x < 3.6.20 / 4.0.x < 4.0.11 / 4.1.x < 4.1.1 多個弱點
medium Nessus Plugin ID 70926
語系:
概要
遠端 Samba 伺服器受到多個弱點影響。說明
根據其標題,遠端主機上執行的 Samba 版本為 3.6.20 之前的 3.x 版、4.0.11 之前的 4.0.x 版或是 4.1.1 之前的 4.1.x 版。因此可能受到多個弱點影響:- 由於 Samba 在存取替代資料流時未正確強制執行 ACL 限制,故可能存在一個安全性繞過弱點。必須啟用「vfs_streams_depot」或「vfs_stream_xattr」模組其中一項,主機才不會受弱點影響。
(CVE-2013-4475)
- 由於 SSL/TLS 加密使用的私密金鑰可供任何本機使用者讀取,故可能取得敏感資訊。請注意,此問題只適用於 4.0.11 之前的 4.0.x 版和 4.1.0 版。
(CVE-2013-4476)
另請注意,Nessus 僅依據自我報告的版本號碼,並未實際嘗試惡意利用此問題,或確認是否已套用相關修補程式。
解決方案
升級至 3.6.20 / 4.0.11 / 4.1.1 版或更新版本,或洽詢供應商取得修補程式或因應措施。另請參閱
https://www.samba.org/samba/security/CVE-2013-4475.html
https://www.samba.org/samba/security/CVE-2013-4476.html
https://www.samba.org/samba/history/samba-3.6.20.html
Plugin 詳細資訊
嚴重性: Medium
ID: 70926
檔案名稱: samba_4_1_1.nasl
版本: 1.8
類型: remote
系列: Misc.
已發布: 2013/11/15
已更新: 2018/11/15
組態: 啟用 Paranoid 模式
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.7
CVSS v2
風險因素: Medium
基本分數: 4
時間分數: 3
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:N
弱點資訊
CPE: cpe:/a:samba:samba
必要的 KB 項目: SMB/NativeLanManager, SMB/samba, Settings/ParanoidReport
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2013/11/11
弱點發布日期: 2013/11/11
參考資訊
CVE: CVE-2013-4475, CVE-2013-4476