欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 751|回复: 0

[安全通知] 关于Samba 4.0.0之后的版本被曝存在密码重置和拒绝服务通知

[复制链接]

210

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
32480
威望
13423
发表于 2018-3-14 13:27:00 |显示全部楼层
尊敬的腾讯云客户:
   您好,近日,腾讯云安全中心监测到Samba 4.0.0之后的版本被曝存在 密码重置和拒绝服务安全漏洞(漏洞编号:CVE-2018-1057及CVE-2018-1050,攻击者可利用该漏洞进行DoS和密码重置攻击。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
   Samba 4.0.0之后的版本被爆存在两个漏洞,分别为密码重置漏洞(CVE-2018-1057)和拒绝服务安全漏洞(CVE-2018-1050),其中密码重置漏洞系Samba 活动目录域控制器未进行权限校验所致,被远程认证的攻击者利用可修改任意用户(包含管理员)密码,当前风险评级为高,拒绝服务漏洞由于主要影响打印后台服务,当前风险评级为低。

【风险等级】
   高风险

【漏洞风险】
   DoS攻击及密码重置

【影响版本】
  Samba 4.0.0之后版本

【安全版本】
   Samba 4.7.6, 4.6.14 and 4.5.16
   Ubuntu 16.04 LTS系列:
   samba: 升级到 2:4.3.11+dfsg-0ubuntu0.16.04.13
   samba-dsdb-modules: 升级到 2: 4.3.11+dfsg-0ubuntu0.16.04.13

   Ubuntu 14.04 LTS系列:
   samba:升级到 2:4.3.11+dfsg-0ubuntu0.14.04.14
   samba-dsdb-modules:升级到 2:4.3.11+dfsg-0ubuntu0.14.04.14

   CentOS 6、7版本Samba RPM由于不支持AD-DC,默认不受CVE-2018-1057漏洞影响。

【修复建议】
   1、如果您Samba服务为官方源码方式安装,建议您参照上述【安全版本】升级到对应的最新版本。
   您可以通过链接:https://www.samba.org/samba/history/security.html 进行下载安装。

   2、如果您的服务器为Ubuntu系统,建议您参照上述【安全版本】更新相应的版本,更新方法如下:
   【Ubuntu 14.04/16.04 LTS系列用户】
    1)sudo apt-get update && sudo apt-get install samba,进行系统更新;
    2)sudo reboot,更新后重启系统生效;
    3)uname -r,检查当前版本是否为上述【安全版本】,如果是,则说明修复成功。


【漏洞参考】
  1)官方通告:https://www.samba.org/samba/history/security.html
  2)红帽公告:https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-1057
  3)Ubuntu公告:https://usn.ubuntu.com/3595-1/

2017/3/14
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-8-17 02:01 , Processed in 1.169532 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部