Samba ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้วยความปลอดภัย
Samba ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้วยความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2019-3870 และ CVE-2019-3880 โดยผู้โจมตีสามารถโจมตีช่องโหว่เพื่อยึดครองระบบได้
CVE-2019-3870 เป็นช่องโหว่ที่กระทบ Samba ตั้งแต่รุ่น 4.9 เป็นต้นไป โดยเกิดความผิดพลาดในการกำหนดสิทธิ์ของพาธ /usr/local/samba/private ซึ่งควรมีสิทธิ์เป็น 0700 เพื่อจำกัดให้สิทธิ์ในการแก้ไขเป็นของ root เท่านั้น แต่เกิดความผิดพลาดทำให้มีการกำหนดสิทธิ์เป็น 0666 ซึ่งทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำกว่าสามารถเขียนลงในพาธดังกล่าวได้ ซึ่งการอัปเดตจะไม่แก้ไขสิทธิ์ 0666 ดังกล่าวทำให้นอกจากผู้ดูแลระบบจะต้องอัปเดตแพตช์แล้ว ผู้ดูแลระบบจะต้องแก้ไขสิทธิ์ของพาธ /usr/local/samba/private ให้ถูกต้องอีกด้วย
ช่องโหว่ CVE-2019-3880 กระทบกับ Samba ตั้งแต่รุ่น 3.2.0 เป็นต้นไป โดยผู้ใช้งานที่มีสิทธิ์ในการเขียนไฟล์สามารถเขียนไฟล์นอกเหนือจาก Samba share ได้
ผู้ดูแลระบบความศึกษา https://www.samba.org/samba/security/CVE-2019-3870.html และ https://www.samba.org/samba/security/CVE-2019-3880.html เพื่อทำการอัปเดตระบบให้ปลอดภัย
ที่มา us-cert
You must be logged in to post a comment.