(Por El Microsaurio) No, gente, no me refiero a ningún nuevo
ritmo difundido por nuestros vecinos cariocas luego de enterarse del
tema de los juegos olímpicos. Se trata de Samba 3.4.2, la versión más fresquita de esta maravillosa herramienta (nunca terminaremos de agradecerle a Tridgell, ¿verdad?).
El tema de la actualización de la semana pasada no es de menor
cuantía. En el software previamente distribuido hay tres fallas de
seguridad tres. Según pude leer aquí, la 3.4.2 es una “distribución de seguridad” específicamente producida para solucionar esas tres vulnerabilidades.
Te cuento:
- Al bueno de Jeremy Allison, que labura en Samba Org,
hay que agradecerle que haya descubierto que en todas las versiones
anteriores a la 3.0.11 un atacante que logre conectarse al “home” de un
usuario legítimo puede (de “cierta manera”) llegar a la raíz del
sistema. - El mismo investigador avisó (ojo que esta es grossa) que un pedido
de conexión SMB “especialmente construido” puede enviar a la CPU del
servidor a un lazo infinito, consumiendo el 100% de la capacidad de
trabajo, lo cual, en criollo, es un nefasto Denial of Service. - Otro que se merece un aplausito es don Jeff Layton, de Red Hat,
que explicó cómo un usuario puede ingresar a un área del sistema donde
no tiene permisos, y una vez allí, revisar qué recursos están montados.
Lo cual en más de un caso puede traer problemas… al verdadero
administrador. Frase a tomar en cuenta: “todas las versiones conocidas
de Samba están afectadas”.
¿La versión que está instalada en tu servidor es muy vieja, querido admin?