Se
han confirmado dos vulnerabilidades en todas las versiones actuales de Samba,
que podrían permitir a un atacante provocar condiciones de denegación de
servicio.
Samba es un software gratuito que
permite acceder y utilizar archivos, impresoras y otros recursos compartidos en
una intranet o en Internet. Está soportado por una gran variedad de sistemas
operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB
(Server Message Block) y CIFS (Common Internet File System).
El primero de los problemas (con
CVE-2014-0244) podría
permitir que un paquete mal construido provoque que el servidor nmbd consuma
todos los recursos de la CPU
y evitar el funcionamiento del
servicio de nombres netBIOS. Por otra parte, con
CVE-2014-3493,
podría provocarse una caída de smdb si un cliente autenticado intenta acceder a
nombres de rutas unicote válidas con una petición no unicode.
Se han publicado parches para
solucionar estas vulnerabilidades en
Adicionalmente, se han publicado
las versiones Samba 4.1.9, 4.0.19 y 3.6.24 que corrigen los problemas. Parches
para versiones antiguas de Samba están disponibles en
http://samba.org/samba/patches/
Más información:
Denial of service - Server crash/memory
corruption
Denial of service - CPU loop
Antonio Ropero
