ГлавнаяБаза уязвимостей БДУ → BDU:2022-06494
5.5средняя

BDU:2022-06494 (CVE-2022-3592)

Уязвимость пакета программ сетевого взаимодействия Samba, связанная с ошибками при обработке символических ссылок, позволяющая нарушителю получить доступ к файловой системе сервера
Опубликовано: 2022-10-28
Описание

Уязвимость пакета программ сетевого взаимодействия Samba связана с ошибками при обработке символических ссылок. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к файловой системе сервера

Затрагиваемое ПО и версии
Debian GNU/Linux (10)openSUSE TumbleweedDebian GNU/Linux (11)РЕД ОС (7.3)Samba (до 4.17.2)ОСОН ОСнова Оnyx (до 2.7)АЛЬТ СП 10
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение SMB1 для ограничения возможности создания символических ссылок;
- если для обратной совместимости необходимо включить SMB1, то необходимо добавить параметр
unix extensions = no
в раздел [global] вашего smb.conf и перезапустить smbd;
- рекомендуется экспортировать области файловой системы только по SMB2 или NFS, но не по обоим протоколам.

Использование рекомендаций производителя:
Для Samba:
https://www.samba.org/samba/security/CVE-2022-3592.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-3592

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-3592.html

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения samba до версии 2:4.15.13+repack-osnova0

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл5.5 — средняя опасность
Источники и патчи
https://www.samba.org/samba/security/CVE-2022-3592.htmlhttps://security-tracker.debian.org/tracker/CVE-2022-3592http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://www.suse.com/security/cve/CVE-2022-3592.htmlhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена