Kritieke lekken in Samba en VERITAS Backup Exec
Het is weer patchtijd, want iDEFENSE heeft een kritiek lek in Samba ontdekt dat door een aanvaller gebruikt kan worden om een kwetsbaar systeem over te nemen. Het lek wordt veroorzaakt door een integer overflow binnen smbd als er security descriptors verwerkt worden. Dit kan, door een grote hoeveelheid securtiy descriptors op te vragen, weer misbruikt worden om een heap-based buffer overflow te veroorzaken, waarna er willekeurige code kan worden uitgevoerd. Het lek is aanwezig in versie 2.x t/m 3.0.9. Er wordt aangeraden om de patch te installeren. Meer informatie is te vinden in deze en deze advisories.
Stack-based buffer overflow in VERITAS Backup Exec
Ook gebruikers van VERITAS Backup Exec wordt aangeraden om te patchen. In Backup Exec 8.x en 9.x is namelijk een kritiek lek gevonden waardoor een aanvaller het kwetsbare systeem kan overnemen. Het lek wordt veroorzaakt door een boundary error in de Agent Browser service, dat ontstaat als er ontvangen registratie requests verwerkt worden. VERITAS heeft voor versie 8.x een hotfix en voor versie 9.x hotfix beschikbaar gesteld. Meer informatie is te vinden in deze en deze advisories.
als de aanvaller al over credentials voor de share beschikt:
"In order to exploit this
vulnerability an attacker would need to have credentials
allowing
them access to the a share. Unsuccessful exploitation
attempts will
cause the process serving the request to crash with signal
11, and
may leave evidence of an attack in logs."
Dat suggereert dat ze verwant zijn.
prior to and including 3.0.8" en in de tweede "in Samba
2.0.x, Samba 2.2.x, and Samba 3.0.x prior to and including
3.0.9".
???
Het effect hiervan op thuis-netwerkjes is dus gelukkig
klein, aangenomen dat mensen zo slim zijn om net als ik
Samba van buitenaf te blokkeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.