Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
samba
(any)
Описание
Джэн Хорн сообщил о двух уязвимостях в Samba, популярном
кроссплатформенном наборе для обеспечения совместного доступа в файлам и принтерам по сети. В частности,
эти уязвимости вляют на SWAT, Samba Web Administration Tool (инструмент настройки Samba через веб).
CVE-2013-0213:
Проблема с кликджекингом в SWAT
Атакующий может добавить страницу SWAT на вредоносный сайт через
frame или iframe, а затем перекрыть его другим содержимым. Если
авторизованный пользователь взаимодействует с такое вредоносной веб-страницей, он
может осуществить ненамеренные изменения настроек Samba.
CVE-2013-0214:
Потенциальная подделка межсайтовых запросов
Атакующий может заставить пользователя SWAT, который защёл в систему как суперпользователь,
нажать на вредоносную ссылку и внести ненамеренные изменения в
настройки Samba. Для того, чтобы осуществить это, атакующему необходимо
значть пароль жертвы.
В стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 2:3.5.6~dfsg-3squeeze9.
В тестируемом выпуске (wheezy) эти проблемы были исправлены в
версии 2:3.6.6-5.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 2:3.6.6-5.
Рекомендуется обновить пакеты samba.
кроссплатформенном наборе для обеспечения совместного доступа в файлам и принтерам по сети. В частности,
эти уязвимости вляют на SWAT, Samba Web Administration Tool (инструмент настройки Samba через веб).
CVE-2013-0213:
Проблема с кликджекингом в SWAT
Атакующий может добавить страницу SWAT на вредоносный сайт через
frame или iframe, а затем перекрыть его другим содержимым. Если
авторизованный пользователь взаимодействует с такое вредоносной веб-страницей, он
может осуществить ненамеренные изменения настроек Samba.
CVE-2013-0214:
Потенциальная подделка межсайтовых запросов
Атакующий может заставить пользователя SWAT, который защёл в систему как суперпользователь,
нажать на вредоносную ссылку и внести ненамеренные изменения в
настройки Samba. Для того, чтобы осуществить это, атакующему необходимо
значть пароль жертвы.
В стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 2:3.5.6~dfsg-3squeeze9.
В тестируемом выпуске (wheezy) эти проблемы были исправлены в
версии 2:3.6.6-5.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 2:3.6.6-5.
Рекомендуется обновить пакеты samba.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
samba - 2:3.5.6~dfsg-3squeeze9
Debian GNU/Linux 6:
noarch:
samba - 2:3.5.6~dfsg-3squeeze9
Ссылки
http://www.debian.org/security/dsa-2617/
Источник: CVE
Наименование: CVE-2013-0213
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0213
Источник: CVE
Наименование: CVE-2013-0214
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0214
Источник: CVE
Наименование: CVE-2013-0213
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0213
Источник: CVE
Наименование: CVE-2013-0214
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0214