Das Samba Team hat einen Patch für die Versionen 4.9.2, 4.8.6 und 4.7.11 veröffentlicht und schließt 6 sicherheitskritische Lücken die zum Teil bereits seit Version 4.0 existieren.

Die Probleme bestehen u.a. im AD internen DNS Server, in der Validierung der User Zertifikate oder Smart Card Authentifizierung, in der Verarbeitung von LDAP-Einträgen, im S4U2Self Ticket sowie der Prüfung von Brute Force Angriffen bei Passworteingaben.

Samba 4.x Security Infos

• CVE-2018-14629 – Unprivileged adding of CNAME record causing loop in AD Internal DNS server
  • https://www.samba.org/samba/security/CVE-2018-14629.html
• CVE-2018-16841 – Double-free in Samba AD DC KDC with PKINIT
  • https://www.samba.org/samba/security/CVE-2018-16841.html
• CVE-2018-16851 – NULL pointer de-reference in Samba AD DC LDAP server
  • https://www.samba.org/samba/security/CVE-2018-16851.html
• CVE-2018-16852 – NULL pointer de-reference in Samba AD DC DNS servers
  • https://www.samba.org/samba/security/CVE-2018-16852.html
• CVE-2018-16853 – Samba AD DC S4U2Self Crash in experimental MIT Kerberos configuration (unsupported)
  • https://www.samba.org/samba/security/CVE-2018-16853.html
• CVE-2018-16857 – Bad password count in AD DC not always effective
  • https://www.samba.org/samba/security/CVE-2018-16857.html

Quelle: https://www.samba.org/samba/history/security.html