現已提供 RHEL 6 的 Red Hat Gluster Storage 3.3 和 RHEL 7 的 Red Hat Gluster Storage 3.3 適用的 samba 的更新。Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。Samba 是伺服器訊息區 (SMB) 通訊協定與相關 Common Internet File System (CIFS) 通訊協定的開放原始碼實作，可讓 PC 相容電腦共用檔案、印表機和多種資訊。安全性修正：據發現，在啟用某些組態選項時，samba 並不會強制執行「SMB 簽署」。遠端攻擊者可啟動攔截式攻擊並且擷取純文字中的資訊。(CVE-2017-12150) * 當最大通訊協定設定為 SMB3，在 samba 用戶端使用加密的方式中發現缺陷。連線可能會遺失簽署和加密任何 DFS 重新導向的需求，讓攻擊者得以透過攔截式攻擊讀取或更改連線內容。(CVE-2017-12151) * 在 Samba 實作 SMB1 通訊協定的方式中發現資訊洩露缺陷。雖然攻擊者無法控制伺服器記憶體的實際區域，但是惡意用戶端還是可利用此缺陷，將伺服器記憶體內容傾印到 samba 共用上的檔案或共用印表機。(CVE-2017-12163) Red Hat 感謝 Samba 專案報告 CVE-2017-12150 和 CVE-2017-12151，以及 Yihan Lian 和 Zhibin Hu (Qihoo 360 GearTeam)、Stefan Metzmacher (SerNet) 和 Jeremy Allison (Google) 報告 CVE-2017-12163。上游確認 Stefan Metzmacher (SerNet) 是 CVE-2017-12150 和 CVE-2017-12151 的原始報告者。

偵測

RHEL 6 / 7：Storage Server (RHSA-2017:2858)

high Nessus Plugin ID 103685

版本 2.14