Uma vulnerabilidade Cross Site Request Forgery (CSRF) e uma vulnerabilidade de Cross-Site Scripting (XSS) relacionadas na ferramenta de administração SWAT do Samba SMB / CIFS e software de interoperabilidade do Windows, provocou o lançamento das atualizações para versões 3.3, 3.4 e 3.5 do programa.
Com um problema de falsificação de solicitação, um atacante pode enganar um usuário autenticado a clicar em um URL manipulado em uma diferente página Web e ganhar o controle da SWAT. Se esse usuário for autenticado como usuário root no sistema, é possível, por exemplo, iniciar ou parar o serviço, adicionar ou remover partes, impressoras ou contas de usuário.
A ferramenta SWAT precisa ser instalada e ativada como um servidor autônomo ou como um plug-in CGI do Apache para se tornar vulnerável. Os desenvolvedores do Samba tem a versão atualizada do código-fonte do Samba 3.5.10 ( notas de lançamento ), 3.4.14 ( notas de lançamento ) e 3.3.16 ( notas de lançamento ) para abordar a questão da SWAT.
Saiba Mais:
[1] Samba 3.5.10 http://samba.org/samba/history/samba-3.5.10.html
[2] Samba 3.4.14 http://samba.org/samba/history/samba-3.4.14.html
[3] Samba 3.3.16 http://samba.org/samba/history/samba-3.3.16.html
-
Vulnerabilidade na Ferramenta Samba SWAT
Publicado em 27-07-2011 09:350 Comentários
+ Enviar Comentário