Korrigearjende releases fan it Samba-pakket 4.14.2, 4.13.7 en 4.12.14 binne taret, wêryn twa kwetsberens binne fêst:
- CVE-2020-27840 is in bufferoverflow dy't optreedt by it ferwurkjen fan spesjaal stylearre DN-nammen (Distinguished Name). In anonime oanfaller kin in Samba-basearre AD DC LDAP-tsjinner crashe troch in spesjaal makke binefersyk te stjoeren. Sûnt by de oanfal is it mooglik om te kontrolearjen it herskriuwen gebiet, mear serieuze gefolgen kinne net útsletten wurde, lykas it útfieren fan jo koade op de tsjinner, mar der is noch gjin wurkjende eksploitaasje. Sûnt de DN-string-parsingkoade dy't liedt ta de kwetsberens wurdt útfierd op it poadium foar it kontrolearjen fan de autentikaasjeparameters, kin it probleem wurde eksploitearre troch in oanfaller dy't gjin akkount hat op 'e tsjinner.
- CVE-2021-20277 In bufferlêzing bûten grinzen bart as de AD DC LDAP-tsjinner in spesjaal makke troch brûkers definieare filter ferwurket. It probleem kin feroarsaakje dat de serverbehandler crasht of ynhâld út prosesûnthâld lekt.
Boarne: opennet.ru