RCE-уязвимость в Samba позволяет выполнить код с правами суперпользователя
Разработчики пакета программ Samba выпустили обновление безопасности, устраняющее большое количество уязвимостей. Их успешная эксплуатация позволяет удаленным злоумышленникам выполнить произвольный код с наивысшими привилегиями на уязвимых системах. Самой опасной проблемой является CVE-2021-44142 , которая затрагивает все версии Samba до 4.13.17. Уязвимость чтения/записи кучи за пределами памяти содержится в модуле VFS vfs_fruit, который обеспечивает совместимость с клиентами Apple SMB. Эксплуатация проблемы позволяет удаленным злоумышленникам выполнить произвольный код от имени суперпользователя. Уязвимость с рейтингом опасности 9,9 балла из максимальных 10 по шкале CVSS была обнаружена исследователем в области кибербезопасности Оранжем Цаем (Orange Tsai) из DEVCORE. По данным Координационного центра CERT (CERT/CC), уязвимость также затрагивает широко используемые дистрибутивы Linux, такие как Red Hat, SUSE Linux и Ubuntu. Samba также исправила две опасные уязвимости: CVE-2021-44141 (4,2 балла по шкале CVSS) — утечка информации через символические ссылки на существование файлов или каталогов за пределами экспортируемого общего ресурса (исправлено в версии Samba 4.15.5). CVE-2022-0336 (3,1 балла по шкале CVSS) — пользователи Samba AD с разрешением на запись в аккаунте могут выдавать себя за произвольные службы (исправлено в версиях Samba 4.13.17, 4.14.12 и 4.15.4). Пользователям Samba рекомендуется как можно скорее установить исправление для предотвращения любой потенциальной атаки, использующей уязвимость. Samba — популярная бесплатная реализация протокола Server Message Block (SMB), которая позволяет пользователям получать доступ к файлам, принтерам и другим общедоступным ресурсам по Сети.
Похожие новости
- 14 Фев, 14:10
Найдена уязвимость, позволяющая создавать бесконечное количество криптовалюты
ИБ-исследователь Джей Фриман обнаружил уязвимость в Ethereum. Об этом было сообщено в официальном блоге проекта Optimism.Optimism позволяет проводить транзакции Ethereum быстрее и дешевле – именно в этом проекте и была найдена уязвимость. Баг в систе...
Cегодня
-
09:59 CoinWire: Цена большинства продвигаемых в соцсети X мемкоинов упала на 90%
-
09:45 BTCparser: «Мегакит 2010 года может быть самим Сатоси Накамото»
-
09:25 Власти Техаса обязали майнеров регистрировать оборудование для добычи криптовалют
-
09:03 Большинство продвигаемых в X мем-коинов потеряли 90% стоимости
-
08:40 «Ъ»: Спрос на оборудование для майнинга в России вырос в три раза
-
08:29 «Ведомости»: Банк России рассматривает возможность запуска отдельного приложения для цифрового рубля
-
07:50 Сатоши не исчез, а превратился в «мегакита» — теория от BTCparser
-
07:43 Ралли биткоина застопорилось
