DFN-CERT-2013-0214 Schwachstellen in Samba [Linux][Debian]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket samba in Debian GNU/Linux 6.0 (squeeze) vor Version
3.5.6~dfsg-3squeeze9
Paket samba in Debian GNU/Linux 7.0 (wheezy) vor Version 2:3.6.6-5
Paket samba in Debian GNU/Linux unstable (sid) vor Version 2:3.6.6-5

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux 7.0 (wheezy)
Debian GNU/Linux unstable (sid)

Schwachstellen in dem SWAT-Werkzeug vom Samba erlauben einem entfernten
Angreifer schlimmstenfalls beliebige Samba-Einstellungen zu ändern.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2013-0214: Schwachstelle in Samba (SWAT)

In dem Samba Web Administration Tool werden einige dynamische Eingaben nicht
vollständig bereinigt. Einem entfernten Angreifer ist es mittels
Cross-Site-Scripting möglich, Änderungen in den Samba-Einstellungen
durchzuführen, falls er einen angemeldeten SWAT-Nutzer dazu bringt, einen
präparierten Link zu benutzen.

CVE-2013-0213: Schwachstelle in Samba (SWAT)

In dem Samba Web Administration Tool existiert eine
“Clickjacking”-Schwachstelle. Einem entfernten Angreifer ist es damit
möglich, eine SWAT-Webseite in eine bösartige Webseite mittels
*frame-Anweisungen einzubetten und diese dann mit anderen Inhalten zu
überlagern. Falls es dem Angreifer gelingt, einen angemeldeten Benutzer dazu
zu bringen, mit dieser bösen Seite zu interagieren, ist es möglich das dies
zu unbeabsichtigten Änderungen an den Samba-Einstellungen führt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0214/

Das Hersteller Advisory:
http://www.debian.org/security/2013/dsa-2617

Schwachstelle CVE-2013-0213:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0213

Schwachstelle CVE-2013-0214:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0214