history/samba-4.0.1.html

   1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
   2     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   3 <html xmlns="http://www.w3.org/1999/xhtml">
   4
   5 <head>
   6 <title>Samba - Release Notes Archive</title>
   7 </head>
   8
   9 <body>
  10
  11    <H2>Samba 4.0.1 Available for Download</H2>
  12
  13 <p>
  14 <pre>
  15                    =============================
  16                    Release Notes for Samba 4.0.1
  17                           January 15, 2013
  18                    =============================
  19
  20
  21 This is a security release in order to address CVE-2013-0172.
  22
  23 o  CVE-2013-0172:
  24    Samba 4.0.0 as an AD DC may provide authenticated users with write access
  25    to LDAP directory objects.
  26
  27    In AD, Access Control Entries can be assigned based on the objectClass
  28    of the object.  If a user or a group the user is a member of has any
  29    access based on the objectClass, then that user has write access to that
  30    object.
  31
  32    Additionally, if a user has write access to any attribute on the object,
  33    they may have access to write to all attributes.
  34
  35    An important mitigation is that anonymous access is totally disabled by
  36    default.  The second important mitigation is that normal users are
  37    typically only given the problematic per-objectClass right via the
  38    "pre-windows 2000 compatible access" group, and Samba 4.0.0 incorrectly
  39    does not make "authenticated users" part of this group.
  40
  41 Changes since 4.0.0:
  42 ====================
  43
  44 o   Andrew Bartlett &lt;abartlet@samba.org&gt;
  45     * Bug 9554 - CVE-2013-0172 - Samba 4.0 as an AD DC may provide authenticated
  46       users with write access to LDAP directory objects.
  47 </pre>
  48
  49 </body>
  50 </html>