Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Debian Linux
(3.0, 3.0 alpha, 3.0 arm, 3.0 hppa, 3.0 ia-32, 3.0 ia-64, 3.0 m68k, 3.0 mips, 3.0 mipsel, 3.0 ppc, 3.0 s_390, 3.0 sparc, 3.1, 3.1 alpha, 3.1 amd64, 3.1 arm, 3.1 hppa, 3.1 ia-32, 3.1 ia-64, 3.1 m68k, 3.1 mips, 3.1 mipsel, 3.1 ppc, 3.1 s_390, 3.1 sparc)
Mandrake Corporate Server
(3.0, 3.0 x86_64, 4.0, 4.0 x86_64)
Samba
(3.0.23d, 3.0.6)
Описание
Уязвимость форматной строки в afsacl.so VFS-модуле в Samba позволяет злоумышленникам выполнить произвольный код, используя описатели форматной строки в имени файла в файловой системе AFS, которые некорректно обрабатываются при Windows ACL-преобразовании.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.samba.org/
http://www.samba.org/
Ссылки
BUGTRAQ (20070205 [SAMBA-SECURITY] CVE-2007-0454: Format string bug in afsacl.so VFS plugin): http://www.securityfocus.com/archive/1/archive/1/459179/100/0/threaded
BID (22403): http://www.securityfocus.com/bid/22403
BUGTRAQ (20070207 rPSA-2007-0026-1 samba samba-swat): http://www.securityfocus.com/archive/1/archive/1/459365/100/0/threaded
http://us1.samba.org/samba/security/CVE-2007-0454.html
https://issues.rpath.com/browse/RPL-1005
DEBIAN (DSA-1257): http://www.debian.org/security/2007/dsa-1257
GENTOO (GLSA-200702-01): http://www.gentoo.org/security/en/glsa/glsa-200702-01.xml
MANDRIVA (MDKSA-2007:034): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2007:034
SLACKWARE (SSA:2007-038-01): http://slackware.com/security/viewer.php?l=slackware-security&y=2007&m=slackware-security.476916
TRUSTIX (2007-0007): http://www.trustix.org/errata/2007/0007
UBUNTU (USN-419-1): http://www.ubuntu.com/usn/usn-419-1
CERT-VN (VU#649732): http://www.kb.cert.org/vuls/id/649732
FRSIRT (ADV-2007-0483): http://www.frsirt.com/english/advisories/2007/0483
SECTRACK (1017588): http://securitytracker.com/id?1017588
XF (samba-afsacl-format-string(32304)): http://xforce.iss.net/xforce/xfdb/32304
BID (22403): http://www.securityfocus.com/bid/22403
BUGTRAQ (20070207 rPSA-2007-0026-1 samba samba-swat): http://www.securityfocus.com/archive/1/archive/1/459365/100/0/threaded
http://us1.samba.org/samba/security/CVE-2007-0454.html
https://issues.rpath.com/browse/RPL-1005
DEBIAN (DSA-1257): http://www.debian.org/security/2007/dsa-1257
GENTOO (GLSA-200702-01): http://www.gentoo.org/security/en/glsa/glsa-200702-01.xml
MANDRIVA (MDKSA-2007:034): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2007:034
SLACKWARE (SSA:2007-038-01): http://slackware.com/security/viewer.php?l=slackware-security&y=2007&m=slackware-security.476916
TRUSTIX (2007-0007): http://www.trustix.org/errata/2007/0007
UBUNTU (USN-419-1): http://www.ubuntu.com/usn/usn-419-1
CERT-VN (VU#649732): http://www.kb.cert.org/vuls/id/649732
FRSIRT (ADV-2007-0483): http://www.frsirt.com/english/advisories/2007/0483
SECTRACK (1017588): http://securitytracker.com/id?1017588
XF (samba-afsacl-format-string(32304)): http://xforce.iss.net/xforce/xfdb/32304
