1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2805/01/2009=29_Acceso_a_la_ra=EDz_del_siste

    From noticias@hispasec.com@2:341/201.99 to All on Tue Jan 6 21:15:02 2009
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 05/01/2009
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Acceso a la raíz del sistema de archivos en Samba
    -------------------------------------------------

    Se ha anunciado una vulnerabilidad en Samba por la que un usuario remoto autenticado podría llegar a acceder a determinados archivos del sistema.

    Samba es una implementación Unix "Open Source" del protocolo
    SMB/NetBIOS, utilizada para la compartición de archivos e impresora en
    entornos Windows. Gracias a este programa, se puede lograr que máquinas
    Unix y Windows convivan amigablemente en una red local, compartiendo
    recursos comunes.

    El problema reside cuando un usuario remoto autenticado se conecta a un compartido con un nombre vacío ("") mediante una versión antigua de
    smbclient (anterior a 3.0.28), el usuario podrá acceder a la raíz del
    sistema de archivos ("/"). Por ejemplo con: smbclient //server/ -U
    user%pass

    Se ven afectados los sistemas configurados como: "registry shares = yes"
    y con "include = registry" y "config backend = registry" (no se trata de
    la configuración por defecto).

    Se ha publicado la versión 3.2.7 que corrige este problema.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3726/comentar

    Más información:

    CVE-2009-0022: Potential access to "/" in setups with registry shares enabled http://samba.org/samba/security/CVE-2009-0022.html


    Laboratorio Hispasec
    laboratorio@hispasec.com


    Tal día como hoy:
    -----------------

    05/01/2008: Múltiples vulnerabilidades en PHP 4.4.x
    http://www.hispasec.com/unaaldia/3360

    05/01/2007: Diversos problemas en Cisco Clean Access 3
    http://www.hispasec.com/unaaldia/2995

    05/01/2006: Microsoft publica el parche para vulnerabilidad WMF
    http://www.hispasec.com/unaaldia/2630

    05/01/2005: Falsificación de cuadro de dialogo de descarga en Mozilla Firefox
    http://www.hispasec.com/unaaldia/2265

    05/01/2004: Ejecución de código arbitrario en Watchdog de Webcam Corp.
    http://www.hispasec.com/unaaldia/1898

    05/01/2003: Escuchando lo que mi vecino teclea...
    http://www.hispasec.com/unaaldia/1533

    05/01/2002: Grave problema de seguridad en AOL Instant Messenger
    http://www.hispasec.com/unaaldia/1168

    05/01/2001: Vulnerabilidad en Lotus Domino 5.0.5
    http://www.hispasec.com/unaaldia/803

    05/01/2000: Seguridad en datos personales
    http://www.hispasec.com/unaaldia/435

    05/01/1999: Vulnerabilidad en redes Windows 95/98
    http://www.hispasec.com/unaaldia/70


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2009 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)