security/CVE-2019-10218.html

   1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
   2     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   3 <html xmlns="http://www.w3.org/1999/xhtml">
   4
   5 <head>
   6 <title>Samba - Security Announcement Archive</title>
   7 </head>
   8
   9 <body>
  10
  11    <H2>CVE-2019-10218.html:</H2>
  12
  13 <p>
  14 <pre>
  15 ===========================================================
  16 == Subject:     Client code can return filenames containing
  17 ==              path separators.
  18 ==
  19 == CVE ID#:     CVE-2019-10218
  20 ==
  21 == Versions:    All versions of Samba.
  22 ==
  23 == Summary:     Malicious servers can cause Samba client
  24                 code to return filenames containing path
  25                 separators to calling code.
  26 ===========================================================
  27
  28 ===========
  29 Description
  30 ===========
  31
  32 Samba client code (libsmbclient) returns server-supplied filenames to
  33 calling code without checking for pathname separators (such as "/" or
  34 "../") in the server returned names.
  35
  36 A malicious server can craft a pathname containing separators and
  37 return this to client code, causing the client to use this access local
  38 pathnames for reading or writing instead of SMB network pathnames.
  39
  40 This access is done using the local privileges of the client.
  41
  42 This attack can be achieved using any of SMB1/2/3 as it is not reliant
  43 on any specific SMB protocol version.
  44
  45 Specifically, samba client tools like smbget and smbclient's mget use
  46 the server supplied 'final' name component as a local name when
  47 obtaining multiple files.  While the design of these tools is that
  48 server can always choose the file names, this vulnerability is that it
  49 allows a remote server to create local files outside the current
  50 working directory.
  51
  52 Users of the libsmbclient library external to Samba may also be
  53 vulnerable if they use server returned filenames without adequate
  54 checking and pass them to functions that do local filesystem access.
  55
  56 Note that the Gnome GVFS client library is not believed to be
  57 vulnerable, as it always passes server-returned pathnames back to the
  58 SMB share they were returned from. Such malformed pathnames are then
  59 rejected by the server.
  60
  61 ==================
  62 Patch Availability
  63 ==================
  64
  65 Patches addressing both these issues have been posted to:
  66
  67     http://www.samba.org/samba/security/
  68
  69 Additionally, Samba 4.11.2, 4.10.10 and 4.9.15 have been issued as
  70 security releases to correct the defect.  Samba administrators are
  71 advised to upgrade to these releases or apply the patch as soon as
  72 possible.
  73
  74 ==================
  75 CVSSv3 calculation
  76 ==================
  77
  78 CVSSv3: AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N (5.3)
  79
  80 ==========
  81 Workaround
  82 ==========
  83
  84 None.
  85
  86 =======
  87 Credits
  88 =======
  89
  90 Originally reported by Michael Hanselmann.
  91
  92 Patches provided by Jeremy Allison of the Samba Team and Google.
  93
  94 Advisory by Jeremy Allison of the Samba Team and Google and Andrew
  95 Bartlett of the Samba Team and Catalyst.
  96
  97 ==========================================================
  98 == Our Code, Our Bugs, Our Responsibility.
  99 == The Samba Team
 100 ==========================================================
 101 </pre>
 102 </body>
 103 </html>