昨天刚刚宣布,Samba 出现了一个新的严重错误。有关该错误的信息可在此处找到:
http://www.theregister.co.uk/2017/05/25/fatthumbed_dev_slashes_samba_security/
“在 CVE-2017-7494 中,恶意客户端可以“将共享库上传到可写共享,然后导致服务器加载并执行它。””
在我的 16.04 LTS 服务器上,我运行“samba --version”并返回:4.3.11
当我按照文章中的链接访问 Samba 网站时,它显示已修复某些版本,但没有修复 Samba 4.3.11。有人知道 Ubuntu/Canonical 何时会为我们提供 Samba 更新吗?
答案1
看CVE-2017-7494和USN 3296-1。除 17.10 之外的修复已发布。指导方针正在更新
$ sudo apt-get update
$ sudo apt-get dist-upgrade
但是我们不知道什么时候会发布。尽快发布是最好的办法。虽然我认为应该已经发布了……但它被视为“高度安全问题”。
===
这是:
Setting up samba-vfs-modules (2:4.5.8+dfsg-0ubuntu0.17.04.2) ...
是我进行 dist-upgrade 时得到的。
答案2
根据我得到的建议我在 ubuntuforums.org 上的帖子:
我按照建议运行了“apt changelog samba”,它确实看起来(如果我没看错的话)已经被修补了。我只是不记得看到过它,但我很高兴它被修补了。这是我得到的:
samba (2:4.3.11+dfsg-0ubuntu0.16.04.7) xenial-security; urgency=medium
* SECURITY UPDATE: remote code execution from a writable share
- debian/patches/CVE-2017-7494.patch: refuse to open pipe names with a
slash inside in source3/rpc_server/srv_pipe.c.
- CVE-2017-7494
-- Marc Deslauriers <[email protected]> Fri, 19 May 2017 14:18:13 -0400
再次感谢你的帮助!