Команда Samba Project выпустила обновления Samba 4.6.4, 4.5.10 и 4.4.14, в которых устранена критическая уязвимость CVE-2017-7494, позволяющая выполнить произвольный код на сервере при наличии доступа на запись в предоставляемое сервером хранилище.

Проблема позволяет вредоносному клиенту загрузить общую библиотеку и инициировать ее загрузку сервером. Уязвимости подвержены версии Samba 3.5.0 и выше. Разработчики также представили дополнительные патчи для старых версий.

В качестве временной меры по предотвращению эксплуатации проблемы разработчики предлагают добавить параметр nt pipe support = no в секцию [global] smb.conf и перезапустить smbd.

Всем пользователям Samba рекомендуется как можно скорее провести обновление до корректирующих выпусков.

Samba - свободный пакет программ, которые позволяют обращаться к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную части. Выпущен под лицензией GPL.