Uma vulnerabilidade Cross Site Request Forgery (CSRF) e uma vulnerabilidade de Cross-Site Scripting (XSS) relacionadas na ferramenta de administração SWAT do Samba SMB / CIFS e software de interoperabilidade do Windows, provocou o lançamento das atualizações para versões 3.3, 3.4 e 3.5 do programa.
Com um problema de falsificação de solicitação, um atacante pode enganar um usuário autenticado a clicar em um URL manipulado em uma diferente página Web e ganhar o controle da SWAT. Se esse usuário for autenticado como usuário root no sistema, é possível, por exemplo, iniciar ou parar o serviços, adicionar ou remover partes, impressoras ou contas de usuários. A ferramenta SWAT precisa ser instalada e ativada como um servidor autônomo ou como um plug-in CGI do Apache para se tornar vulnerável. Os desenvolvedores do Samba tem a versão atualizada do código-fonte do Samba 3.5.10(notas de lançamento), 3.4.14(notas de lançamento) e 3.3.16(notas de lançamento) para abordar a questão da SWAT.
Mais informações em:
Samba 3.5.10 http://samba.org/samba/history/samba-3.5.10.html
Samba 3.4.14 http://samba.org/samba/history/samba-3.4.14.html
Samba 3.3.16 http://samba.org/samba/history/samba-3.3.16.html
Samba 3.4.14 http://samba.org/samba/history/samba-3.4.14.html
Samba 3.3.16 http://samba.org/samba/history/samba-3.3.16.html
Créditos: Under Linux
Nenhum comentário:
Postar um comentário