13.03.2018

Уязвимость BDU:2018-00367

Идентификатор: BDU:2018-00367.

Наименование уязвимости: Уязвимость пакета программ сетевого взаимодействия Samba, связанная с отсутствием проверки входных данных, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость пакета программ сетевого взаимодействия Samba связана с отсутствием проверки входных данных при вызовах RPC spoolss (в случае если RPC spoolss настроена для запуска в качестве внешнего демона). Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании диспетчера очереди печати
Уязвимое ПО: Сетевое программное средство Samba Team Samba 4.0.0 | Сетевое программное средство Samba Team Samba 4.0.1 | Сетевое программное средство Samba Team Samba 4.0.10 | Сетевое программное средство Samba Team Samba 4.0.11 | Сетевое программное средство Samba Team Samba 4.0.12 | Сетевое программное средство Samba Team Samba 4.0.13 | Сетевое программное средство Samba Team Samba 4.0.14 | Сетевое программное средство Samba Team Samba 4.0.15 | Сетевое программное средство Samba Team Samba 4.0.16 | Сетевое программное средство Samba Team Samba 4.0.17 | Сетевое программное средство Samba Team Samba 4.0.18 | Сетевое программное средство Samba Team Samba 4.0.19 | Сетевое программное средство Samba Team Samba 4.0.2 | Сетевое программное средство Samba Team Samba 4.0.20 | Сетевое программное средство Samba Team Samba 4.0.21 | Сетевое программное средство Samba Team Samba 4.0.22 | Сетевое программное средство Samba Team Samba 4.0.23 | Сетевое программное средство Samba Team Samba 4.0.24 | Сетевое программное средство Samba Team Samba 4.0.3 | Сетевое программное средство Samba Team Samba 4.0.4 | Сетевое программное средство Samba Team Samba 4.0.5 | Сетевое программное средство Samba Team Samba 4.0.6 | Сетевое программное средство Samba Team Samba 4.0.7 | Сетевое программное средство Samba Team Samba 4.0.8 | Сетевое программное средство Samba Team Samba 4.0.9 | Сетевое программное средство Samba Team Samba 4.1 | Сетевое программное средство Samba Team Samba 4.1.1 | Сетевое программное средство Samba Team Samba 4.1.10 | Сетевое программное средство Samba Team Samba 4.1.11 | Сетевое программное средство Samba Team Samba 4.1.12 | Сетевое программное средство Samba Team Samba 4.1.13 | Сетевое программное средство Samba Team Samba 4.1.14 | Сетевое программное средство Samba Team Samba 4.1.15 | Сетевое программное средство Samba Team Samba 4.1.16 | Сетевое программное средство Samba Team Samba 4.1.17 | Сетевое программное средство Samba Team Samba 4.1.18 | Сетевое программное средство Samba Team Samba 4.1.19 | Сетевое программное средство Samba Team Samba 4.1.2 | Сетевое программное средство Samba Team Samba 4.1.20 | Сетевое программное средство Samba Team Samba 4.1.21 | Сетевое программное средство Samba Team Samba 4.1.22 | Сетевое программное средство Samba Team Samba 4.1.23 | Сетевое программное средство Samba Team Samba 4.1.3 | Сетевое программное средство Samba Team Samba 4.1.5 | Сетевое программное средство Samba Team Samba 4.1.6 | Сетевое программное средство Samba Team Samba 4.1.7 | Сетевое программное средство Samba Team Samba 4.1.8 | Сетевое программное средство Samba Team Samba 4.1.9 | Сетевое программное средство Samba Team Samba 4.2 | Сетевое программное средство Samba Team Samba 4.2.0 Rc1 | Сетевое программное средство Samba Team Samba 4.2.0 Rc2 | Сетевое программное средство Samba Team Samba 4.2.0 Rc3 | Сетевое программное средство Samba Team Samba 4.2.0 Rc4 | Сетевое программное средство Samba Team Samba 4.2.1 | Сетевое программное средство Samba Team Samba 4.2.10 | Сетевое программное средство Samba Team Samba 4.2.11 | Сетевое программное средство Samba Team Samba 4.2.12 | Сетевое программное средство Samba Team Samba 4.2.13 | Сетевое программное средство Samba Team Samba 4.2.14 | Сетевое программное средство Samba Team Samba 4.2.2 | Сетевое программное средство Samba Team Samba 4.2.3 | Сетевое программное средство Samba Team Samba 4.2.4 | Сетевое программное средство Samba Team Samba 4.2.5 | Сетевое программное средство Samba Team Samba 4.2.6 | Сетевое программное средство Samba Team Samba 4.2.7 | Сетевое программное средство Samba Team Samba 4.2.8 | Сетевое программное средство Samba Team Samba 4.2.9 | Сетевое программное средство Samba Team Samba 4.2rc4 | Сетевое программное средство Samba Team Samba 4.3 | Сетевое программное средство Samba Team Samba 4.3.1 | Сетевое программное средство Samba Team Samba 4.3.10 | Сетевое программное средство Samba Team Samba 4.3.11 | Сетевое программное средство Samba Team Samba 4.3.13 | Сетевое программное средство Samba Team Samba 4.3.2 | Сетевое программное средство Samba Team Samba 4.3.3 | Сетевое программное средство Samba Team Samba 4.3.4 | Сетевое программное средство Samba Team Samba 4.3.5 | Сетевое программное средство Samba Team Samba 4.3.6 | Сетевое программное средство Samba Team Samba 4.3.7 | Сетевое программное средство Samba Team Samba 4.3.8 | Сетевое программное средство Samba Team Samba 4.3.9 | Сетевое программное средство Samba Team Samba 4.4 | Сетевое программное средство Samba Team Samba 4.4 rc3 | Сетевое программное средство Samba Team Samba 4.4 rc4 | Сетевое программное средство Samba Team Samba 4.4.0 Rc2 | Сетевое программное средство Samba Team Samba 4.4.1 | Сетевое программное средство Samba Team Samba 4.4.10 | Сетевое программное средство Samba Team Samba 4.4.11 | Сетевое программное средство Samba Team Samba 4.4.12 | Сетевое программное средство Samba Team Samba 4.4.14 | Сетевое программное средство Samba Team Samba 4.4.15 | Сетевое программное средство Samba Team Samba 4.4.16 | Сетевое программное средство Samba Team Samba 4.4.2 | Сетевое программное средство Samba Team Samba 4.4.3 | Сетевое программное средство Samba Team Samba 4.4.4 | Сетевое программное средство Samba Team Samba 4.4.5 | Сетевое программное средство Samba Team Samba 4.4.6 | Сетевое программное средство Samba Team Samba 4.4.7 | Сетевое программное средство Samba Team Samba 4.4.8 | Сетевое программное средство Samba Team Samba 4.4.9 | Сетевое программное средство Samba Team Samba 4.5 | Сетевое программное средство Samba Team Samba 4.5.1 | Сетевое программное средство Samba Team Samba 4.5.10 | Сетевое программное средство Samba Team Samba 4.5.12 | Сетевое программное средство Samba Team Samba 4.5.13 | Сетевое программное средство Samba Team Samba 4.5.14 | Сетевое программное средство Samba Team Samba 4.5.15 | Сетевое программное средство Samba Team Samba 4.5.2 | Сетевое программное средство Samba Team Samba 4.5.3 | Сетевое программное средство Samba Team Samba 4.5.4 | Сетевое программное средство Samba Team Samba 4.5.5 | Сетевое программное средство Samba Team Samba 4.5.6 | Сетевое программное средство Samba Team Samba 4.5.7 | Сетевое программное средство Samba Team Samba 4.6 | Сетевое программное средство Samba Team Samba 4.6.1 | Сетевое программное средство Samba Team Samba 4.6.11 | Сетевое программное средство Samba Team Samba 4.6.4 | Сетевое программное средство Samba Team Samba 4.6.6 | Сетевое программное средство Samba Team Samba 4.6.7 | Сетевое программное средство Samba Team Samba 4.6.8 | Сетевое программное средство Samba Team Samba 4.7.3 | Сетевое программное средство Juniper Networks Inc. Junos Space до 18.4R1 | Операционная система ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» | Операционная система АО «НТЦ ИТ РОСА» РОСА Кобальт — |

Наименование ОС и тип аппаратной платформы: Astra Linux Common Edition 212 «Орёл» | РОСА Кобальт — |
Дата выявления: 13.03.2018.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению:
Использование рекомендаций:
Для Samba:

https://www.samba.org/samba/security/CVE-2018-1050.html

Для Astra Linux:
Обновление программного обеспечения (пакета samba) до 2:4.5.12+dfsg-2+deb9u1 или более поздней версии

Для ОС РОСА КОБАЛЬТ:
http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-04-02.004.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2018-1050.
Прочая информация: —
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://bugzilla.redhat.com/show_bug.cgi?id=1538771
https://www.samba.org/samba/security/CVE-2018-1050.html
https://exchange.xforce.ibmcloud.com/vulnerabilities/140206
http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-04-02.004

Автор: ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.

Комментарии: