Korrektiewe vrystellings van die Samba 4.14.2, 4.13.7 en 4.12.14-pakket is voorberei, waarin twee kwesbaarhede reggestel is:
- CVE-2020-27840 - 'n Bufferoorloop vind plaas tydens die verwerking van spesiaal geformateerde Distinguished Name (DN) name. 'n Anonieme aanvaller kan 'n Samba-gebaseerde AD DC LDAP-bediener laat crash deur 'n spesiaal vervaardigde bindversoek te stuur. Aangesien dit moontlik is om die oorskryfarea tydens die aanval te beheer, word ernstiger gevolge nie uitgesluit nie, soos om jou eie kode op die bediener te laat loop, maar daar is nog geen werkende ontginning nie. Aangesien die DN-string-ontledingskode wat tot die kwesbaarheid lei, uitgevoer word op 'n stadium voor die verifikasie van verifikasieparameters, kan die probleem uitgebuit word deur 'n aanvaller wat nie 'n rekening op die bediener het nie.
- CVE-2021-20277 - Lees buite buffergrense terwyl pasgemaakte gebruikergedefinieerde filter op AD DC LDAP-bediener verwerk word. Die probleem kan veroorsaak dat 'n bedienerhanteerder ineenstort of inhoud uit prosesgeheue lek.
Bron: opennet.ru