Si consiglia l'aggiornamento alla versione successiva, o di applicare il workaround descritto in questo articolo.
[ZEUS News - www.zeusnews.it - 13-04-2012]
Risale a martedì 10 aprile il bollettino di sicurezza del team di sviluppo di Samba, che denuncia un grave bug nella nota suite di interoperatibilità.
Le versioni 3.6.3 e precedenti sono tutte afflitte da questo problema, che in pratica permette di eseguire codice sulla macchina dove gira il server, partendo da qualunque connessione anonima.
Dato che non è richiesta una connessione autenticata, si consiglia di aggiornare al più presto alla versione 3.6.4 già rilasciata; anche le varie distribuzioni Linux probabilmente hanno già aggiornato i repository.
Nel caso non si riesca ad aggiornare in tempi brevi è possibile un workaround usando il parametro hosts allow all'interno del file smb.conf che permette di limitare l'accesso alla risorsa condivisa solo a una particolare lista di IP (o a un range). Questa però è una soluzione che dovrebbe essere usata per il minor tempo possibile, dato che l'IP di un client può essere configurato con poco sforzo.
Si noti che per poter sfruttare questo bug occorre che l'attaccante sia connesso alla rete nella quale Samba opera.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
