ГлавнаяБаза уязвимостей БДУ → BDU:2015-00390
3.6средняя

BDU:2015-00390 (CVE-2012-6150)

Уязвимость программного обеспечения Samba, позволяющая удаленному злоумышленнику нарушить конфиденциальность и целостность защищаемой информации
Опубликовано: 2016-07-06
Описание

Уязвимость существует в функции winbind_name_list_to_sid_string_list в nsswitch/pam_winbind.c в Samba из-за обработки некорректных имен групп require_membership_of, разрешая аутентификацию любого пользователя. Эксплуатация данной уязвимости позволяет удаленным пользователям, прошедшим аутентификацию, обойти ограничения доступа, используя ошибку в файле конфигурации pam_winbind администратора.

Затрагиваемое ПО и версии
Samba (3.3.10)Samba (3.4.3)Samba (от 3.5.0 до 3.6.22)Samba (от 4.0.0 до 4.0.13)Samba (от 4.1.0 до 4.1.3)Debian GNU/Linux (9)Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (10)
Способ устранения

Для Samba:
https://lists.samba.org/archive/samba-technical/2012-June/084593.html
https://lists.samba.org/archive/samba-technical/2013-November/096411.html

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2012-6150

Для Astra Linux:
Обновление программного обеспечения (пакета samba) до 2:4.5.16+dfsg-1+deb9u3 или более поздней версии

Оценка CVSS
Балл3.6 — средняя опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2012-6150https://security-tracker.debian.org/tracker/CVE-2012-6150https://lists.samba.org/archive/samba-technical/2012-June/084593.htmlhttps://lists.samba.org/archive/samba-technical/2013-November/096411.htmlhttp://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6150
Проверьте безопасность своего сайта и почты → Полная проверка домена