Обновление Системы(DSA-3548-1 &DSA-3549-1 &DSA-3550-1)

Обновления безопасности samba, браузера Chrome и openssh.   Информация об уязвимости DSA-3548-1 samba— Security Update Сведения о базе данных безопасности: CVE-2015-5370: Jouni Knuutinen из Synopsys обнаружил недостатки в коде DCE-RPC Samba, которые могут привести к отказу в обслуживании (сбои и высокая загрузка процессора) и атакам «человек посередине». CVE-2016-2110: Stefan Metzmacher of SerNet and the Samba Team discovered that the feature negotiation of NTLMSSP does not protect against downgrade attacks. CVE-2016-2111: When Samba is configured as domain controller, it allows remote attackers to spoof the computer name of a secure channel's endpoint, and obtain sensitive session information. This flaw corresponds to the same vulnerability as CVE-2015-0005 for Windows, discovered by Alberto Solino from Core Security. CVE-2016-2112: Stefan Metzmacher of SerNet and the Samba Team discovered that a man-in-the-middle attacker can downgrade LDAP connections to avoid integrity protection. CVE-2016-2113: Stefan Metzmacher of SerNet and the Samba Team discovered that man-in-the-middle attacks are possible for client triggered LDAP connections and ncacn_http connections. CVE-2016-2114: Stefan Metzmacher of SerNet and the Samba Team discovered that Samba does not enforce required smb signing even if explicitly configured. CVE-2016-2115: Stefan Metzmacher of SerNet and the Samba Team discovered that SMB connections for IPC traffic are not integrity-protected. ...Читать еще

Обновление Системы(DSA-3541-1 &DSA-3542-1 &DSA-3543-1)

Обновления безопасности roundcube, mercurial и oar.   Сведения об уязвимости DSA-3541-1 roundcube— Security Update Сведения о базе данных безопасности: CVE-2015-8770: Исследовательская лаборатория High-Tech Bridge Security обнаружила, что Roundcube, клиент электронной почты, содержал уязвимость при обходе пути. Эта уязвимость может быть использована злоумышленником для доступа к конфиденциальным файлам на сервере или даже для выполнения произвольного кода.   DSA-3542-1 mercurial— Security Update Сведения о базе данных безопасности: В Mercurial обнаружена несколько уязвимостей - распределенная система контроля версий. Проект Common Vulnerabilities and Exposures выявляет следующие проблемы: CVE-2016-3068 : Блейк Буркхарт обнаружил, что Mercurial позволяет URL-адреса для подтипов Git, которые могут привести к выполнению произвольного кода на клоне. CVE-2016-3069 : Блейк Буркхарт обнаружил, что Mercurial допускает произвольное выполнение кода при преобразовании репозиториев Git со специально созданными именами. CVE-2016-3630:Было обнаружено, что Mercurial не выполняет должным образом проверку границ в своем бинарном дельта-декодере, что может быть использовано для удаленного выполнения кода через клон, push или pull.   DSA-3543-1 oar— Обновление Безопасности Сведения о базе данных безопасности: CVE-2016-1235: Эммануэль Том обнаружил, что отсутствие дезинфекции в суровой команде OAR, программного обеспечения, используемого для управления заданиями и ресурсами кластеров HPC, может привести к эскалации привилегий.   Фиксация состояния Уязвимости roundcube были исправлены в версии 1.1.4 + dfsg.1-1; В версии ...Читать еще