Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket samba4

Betroffene Plattformen:

Red Hat Enterprise Linux Desktop (v. 6) – i386, x86_64
Red Hat Enterprise Linux HPC Node (v. 6) – x86_64
Red Hat Enterprise Linux Server (v. 6) – i386, ppc64, s390x, x86_64
Red Hat Enterprise Linux Workstation (v. 6) – i386, x86_64

Eine Schwachstelle in Samba erlaubt es einem entfernten Angreifer beliebigen
Code mit Root-Rechten auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

CVE-2012-1182: Schwachstelle im Samba RPC-Compiler

Samba in den Versionen 3.0.x bis einschließlich 3.6.3 beinhaltet einen
Fehler im Code der ‘Remote Procedure Calls’ (RPC). Darin werden die Angaben
bezüglich der Größe und des Inhaltes von allozierten Arrays unzureichend
überprüft. Beide Variablen werden durch den Client eines ‘Remote Procedure
Calls’ kontrolliert. Dies ermöglicht einem entfernten, nicht
authentifizierten Angreifer durch das Setzen dieser Variablen in einem
präparierten ‘Remote Procedure Call’ beliebigen Code mit Root-Rechten zur
Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0351/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2013-0506.html

Schwachstelle CVE-2012-1182:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1182

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.