Si consiglia l'aggiornamento alla versione successiva, o di applicare il workaround descritto in questo articolo.
[ZEUS News - www.zeusnews.it - 13-04-2012]
Risale a martedì 10 aprile il bollettino di sicurezza del team di sviluppo di Samba, che denuncia un grave bug nella nota suite di interoperatibilità.
Le versioni 3.6.3 e precedenti sono tutte afflitte da questo problema, che in pratica permette di eseguire codice sulla macchina dove gira il server, partendo da qualunque connessione anonima.
Dato che non è richiesta una connessione autenticata, si consiglia di aggiornare al più presto alla versione 3.6.4 già rilasciata; anche le varie distribuzioni Linux probabilmente hanno già aggiornato i repository.
Nel caso non si riesca ad aggiornare in tempi brevi è possibile un workaround usando il parametro hosts allow all'interno del file smb.conf che permette di limitare l'accesso alla risorsa condivisa solo a una particolare lista di IP (o a un range). Questa però è una soluzione che dovrebbe essere usata per il minor tempo possibile, dato che l'IP di un client può essere configurato con poco sforzo.
|
Si noti che per poter sfruttare questo bug occorre che l'attaccante sia connesso alla rete nella quale Samba opera.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|
freemind