[Sec-cert] [Fedora] Schwachstelle in Samba vor Version 3.4.5 - FEDORA-2010-1218

WiN Site Security Contacts win-sec-ssc at lists.dfn-cert.de
Fr Jan 29 13:40:59 CET 2010


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2009-3297 - Race Condition in den Samba-Client Tools

  Das von Samba verwendete Tool mount.cifs enthaelten eine Race Condition
  Schwachstelle beim Einbinden und Aushaengen von cifs-Volumes. Ein
  lokaler Angreifer kann diese Schwachstelle durch das Erzeugen eines
  geeigneten Symlinks ausnutzen, um Zugriff auf vertrauliche Dateien im
  Dateisystem zu erhalten oder seine Privilegien zu erweitern.
  
  Bitte beachten sie, dass unter der gleichen Schwachstellen-ID mehrere
  Schwachstellen in den Dateisystemdiensten ncpfs, Samba und FUSE
  zusammengefasst sind.

Betroffen sind die folgenden Software Pakete und Plattformen:

  Paket samba

  Fedora 12

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
  http://lists.fedoraproject.org/pipermail/package-announce/2010-January/034470.html


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
   Michael Groening, DFN-CERT
- -- 

Michael Groening (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone  +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.:  DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen               https://www.cert.dfn.de/autowarn

- --------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2010-1218
2010-01-29 02:35:21
- --------------------------------------------------------------------------------

Name        : samba
Product     : Fedora 12
Version     : 3.4.5
Release     : 55.fc12
URL         : http://www.samba.org/
Summary     : Server and Client software to interoperate with Windows machines
Description :

Samba is the suite of programs by which a lot of PC-related machines
share files, printers, and other information (such as lists of
available files and printers). The Windows NT, OS/2, and Linux
operating systems support this natively, and add-on packages can
enable the same thing for DOS, Windows, VMS, UNIX of all kinds, MVS,
and more. This package provides an SMB/CIFS server that can be used to
provide network services to SMB/CIFS clients.
Samba uses NetBIOS over TCP/IP (NetBT) protocols and does NOT
need the NetBEUI (Microsoft Raw NetBIOS frame) protocol.

- --------------------------------------------------------------------------------
ChangeLog:

* Tue Jan 26 2010 Guenther Deschner <gdeschner at redhat.com> - 3.4.5-55
- - Security Release, fixes CVE-2009-3297
- - resolves: #532940
* Tue Jan 26 2010 Guenther Deschner <gdeschner at redhat.com> - 3.4.5-54
- - Fix crash in pdbedit
- - resolves: #541267
* Tue Jan 19 2010 Guenther Deschner <gdeschner at redhat.com> - 3.4.5-53
- - Update to 3.4.5
* Thu Jan 14 2010 Guenther Deschner <gdeschner at redhat.com> - 3.4.4-52
- - Fix crash bug in libsmbclient (SMBC_parse_path)
- - resolves: #552658
* Thu Jan  7 2010 Guenther Deschner <gdeschner at redhat.com> - 3.4.4-51
- - Update to 3.4.4
* Tue Dec  1 2009 Guenther Deschner <gdeschner at redhat.com> - 3.4.3-50
- - Fix uninitialized rpc client pipe, causing winbind to crash
- - resolves: #541328
* Wed Nov 25 2009 Guenther Deschner <gdeschner at redhat.com> - 3.4.3-49
- - Various updates to inline documentation in default smb.conf file
- - resolves: #483703
* Thu Oct 29 2009 Guenther Deschner <gdeschner at redhat.com> - 3.4.3-48
- - Update to 3.4.3
- --------------------------------------------------------------------------------
References:

  [ 1 ] Bug #532940 - CVE-2009-3297 samba, fuse, ncpfs: Race condition by mount (mount.cifs, ncpmount) / umount (fusermount, ncpumount) operations
        https://bugzilla.redhat.com/show_bug.cgi?id=532940
- --------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update samba' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
- --------------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLYtdbWmhIvjFb90URAjVKAJ9ASOjlBDsjQIvLXPhkC9eBtdzJHgCdFv7Q
sHBjpE1GMd6POX1KVXSSA/8=
=UFJM
-----END PGP SIGNATURE-----



Mehr Informationen über die Mailingliste Sec-cert