Vulnérabilités dans le serveur LDAP de Samba
Date de publication :
Deux vulnérabilités concernant le serveur LDAP de Samba lorsqu'il est utilisé comme contrôleur de domaine Active Directory ont été corrigées.
CVE-2021-20277 [Score CVSS v3 : En cours de calcul] : Ldb, lorsqu'il est utilisé avec Samba traite incorrectement certains attributs LDAP. Un attaquant distant peut exploiter cette faille afin de provoquer un déni de service sur le serveur LDAP de Samba.
CVE-2020-27840 [Score CVSS v3 : En cours de calcul] : Ldb, lorsqu'il est utilisé avec Samba, traite de manière incorrecte certaines attributs LDAP. Un attaquant distant peut exploiter cette faille afin de provoquer un déni de service sur le serveur LDAP de Samba ou éventuellement exécuter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Injection de code arbitraire
Criticité
- Scores CVSS v3 : En cours de calcul
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Les versions de Samba suivantes sont impactées par ces vulnérabilités :
- 4.14.x jusqu’à 4.14.1
- 4.13.x jusqu’à 4.13.6
- 4.12.x jusqu’à 4.12.13
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Samba vers une des versions suivantes :
- 4.14.2
- 4.13.7
- 4.12.14
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.