Administradores de Linux foram enviados lutando para corrigir suas caixas na segunda-feira depois de uma vulnerabilidade crítica foi revelado em Samba, o software Linux-e-Windows-compatibilidade de código aberto.
O bug, que foi designado CVE-2015-0240, encontra-se no daemon servidor de arquivos smbd. Versões do Samba 3.5.0 através 4.2.0rc4 são afetados, o Projeto Samba disse em um alerta de segurança .
Um invasor que explorar com êxito a falha poderia executar código remotamente com privilégios de root, os desenvolvedores do projeto advertiu. Acesso root é automático e nenhum login ou autenticação é necessária.
Samba é uma pilha de software de código aberto que permite que máquinas Linux para atuar como clientes e servidores para os serviços de arquivos e de impressão com base no protocolo SMB / CIFS da Microsoft. Ele também permite que o Linux integrar com o Active Directory.
Porque ele vem com uma ampla gama de distribuições Linux, um grande número de sistemas poderiam ser afetados - embora o quão vulnerável um determinado sistema é atacar vai depender de qual distro que está sendo executado e em que nível patch. Samba às vezes também é instalado como um componente de sistemas BSD e * OS X.
Equipe de segurança de produtos da Red Hat tem uma análise mais detalhada do bug, que você pode ver aqui . A empresa diz que as versões Red Hat Enterprise Linux 5 a 7 são afetados, assim como as versões Red Hat Storage Server 2.1 e 3. O vuln é considerada crítica para todos os produtos afetados, com excepção do RHEL 7, onde ele foi classificado como meramente "importante".
Outras distros têm igualmente postado alertas de segurança, incluindo Debian , Suse e Ubuntu .
Patches já estão disponíveis a partir do Projeto Samba si e vários distros já fizeram pacotes atualizados disponíveis em seus repositórios, com os outros a seguir em breve.
Não vá culpar Microsoft de vulnerabilidades em seus protocolos, quer. Isto é estritamente um bug no implementação open source do Samba da pilha, e crédito para manchar ele realmente vai para Richard van Eeden de Vulnerability Research Microsoft, que também forneceu o patch. ®
Nenhum comentário:
Postar um comentário