ГлавнаяБаза уязвимостей БДУ → BDU:2015-10377
10критическая

BDU:2015-10377 (CVE-2015-0240)

Уязвимость функции the _netr_ServerPasswordSet пакета программ сетевого взаимодействия Samba, позволяющая нарушителю выполнить произвольный код c привилегиями администратора
Опубликовано: 2016-07-07
Описание

Уязвимость функции the _netr_ServerPasswordSet пакета программ сетевого взаимодействия Samba связана с ошибками кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код c привилегиями администратора при помощи специально сформированного вызова удалённой процедуры ServerPasswordSet

Затрагиваемое ПО и версии
Ubuntu (14.10)Samba (от 3.5.10 до 3.5.22 включительно)Samba (от 3.6.0 до 3.6.25)Samba (от 4.0.0 до 4.0.25)Samba (от 4.1.0 до 4.1.17)Samba (от 4.2.0:rc1 до 4.2.0:rc5)Suse Linux Enterprise Server (12)Ubuntu (12.04)Astra Linux Common Edition (2.12 «Орёл»)Ubuntu (14.04 ESM)Debian GNU/Linux (7)Suse Linux Enterprise Server (11 SP2-LTSS)Suse Linux Enterprise Server (11 SP3)Suse Linux Enterprise Desktop (12)SUSE Linux Enterprise Software Development Kit (12)OpenSUSE Leap (13.2)OpenSUSE Leap (13.1)OpenSUSE Evergreen (11.4)Suse Linux Enterprise Desktop (11 SP3)Suse Linux Enterprise Server (11 SP3 for VMware)SUSE Linux Enterprise Software Development Kit (11 SP3)
Способ устранения

Использование рекомендаций производителя:
Для Samba:
https://www.samba.org/samba/security/CVE-2015-0240

Для Astra Linux:
Обновление программного обеспечения (пакета samba) до 4.0.25 или более поздней версии

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2015-02/msg00028.html
http://lists.opensuse.org/opensuse-security-announce/2015-02/msg00030.html
http://lists.opensuse.org/opensuse-security-announce/2015-02/msg00031.html
http://lists.opensuse.org/opensuse-security-announce/2015-02/msg00035.html
http://lists.opensuse.org/opensuse-security-announce/2016-04/msg00042.html
http://lists.opensuse.org/opensuse-security-announce/2016-04/msg00047.html
http://lists.opensuse.org/opensuse-security-announce/2016-04/msg00048.html

Для Ubuntu:
https://ubuntu.com/security/notices/USN-2508-1

Для Debian GNU/Linux:
https://www.debian.org/security/2015/dsa-3171

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.samba.org/samba/security/CVE-2015-0240https://nvd.nist.gov/vuln/detail/CVE-2015-0240https://security-tracker.debian.org/tracker/CVE-2015-0240https://securityblog.redhat.com/2015/02/23/samba-vulnerability-cve-2015-0240/http://lists.opensuse.org/opensuse-security-announce/2015-02/msg00028.htmlhttp://lists.opensuse.org/opensuse-security-announce/2015-02/msg00030.htmlhttp://lists.opensuse.org/opensuse-security-announce/2015-02/msg00031.htmlhttp://lists.opensuse.org/opensuse-security-announce/2015-02/msg00035.html
Проверьте безопасность своего сайта и почты → Полная проверка домена