-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 - --- ../../english/security/2021/dsa-5015.wml 2021-11-30 20:18:13.568247162 +0500 +++ 2021/dsa-5015.wml 2021-11-30 21:11:52.145603416 +0500 @@ -1,33 +1,40 @@ - -<define-tag description>security update</define-tag> +#use wml::debian::translation-check translation="021ca29ce4441965338f6b5b1369a60cf47bb0b9" mindelta="1" maintainer="Lev Lamberov" +<define-tag description>обновление безопасности</define-tag> <define-tag moreinfo> - -<p>Andrew Bartlett discovered that Samba, a SMB/CIFS file, print, and login - -server for Unix, may map domain users to local users in an undesired - -way. This could allow a user in an AD domain to potentially become root - -on domain members.</p> - - - -<p>A new parameter <q>min domain uid</q> (default 1000) has been added to - -specify the minimum uid allowed when mapping a local account to a domain - -account.</p> - - - -<p>Further details and workarounds can be found in the upstream advisory - -<a href="https://www.samba.org/samba/security/">https://www.samba.org/samba/security/</a><a href="https://security-tracker.debian.org/tracker/CVE-2020-25717">CVE-2020-25717</a>.html</p> - - - -<p>For the oldstable distribution (buster), this problem has been fixed - -in version 2:4.9.5+dfsg-5+deb10u2. Additionally the update mitigates - -<a href="https://security-tracker.debian.org/tracker/CVE-2020-25722">CVE-2020-25722</a>. Unfortunately the changes required to fix additional - -CVEs affecting Samba as an AD-compatible domain controller are too - -invasive to be backported. Thus users using Samba as an AD-compatible - -domain controller are encouraged to migrate to Debian bullseye. From - -this point onwards AD domain controller setups are no longer supported - -in Debian oldstable.</p> - - - -<p>We recommend that you upgrade your samba packages.</p> - - - -<p>For the detailed security status of samba please refer to its security - -tracker page at: - -<a href="https://security-tracker.debian.org/tracker/samba">https://security-tracker.debian.org/tracker/samba</a></p> +<p>Эндрю Бартлет сообщил, что Samba, файловый сервер, сервер +печати и входа SMB/CIFS для Unix, может преобразовывать пользователей +домена в локальных пользователей нежелательным образом Это может +позволить пользователю в AD-домене потенциально стать суперпользователей +на машинах домена.</p> + +<p>Обновление добавляет новый параметр <q>min domain uid</q> (по умолчанию имеет +значение 1000) для того, чтобы не принимать пользовательские идентификаторы +UNIX ниже этого значения.</p> + +<p>Дальнейшие подробности и способы временного решения проблемы можно +найти в рекомендации из основной ветки разработки по адресу +<a href="https://www.samba.org/samba/security/">\ +https://www.samba.org/samba/security/</a>, а также в <a href="https://security-tracker.debian.org/tracker/CVE-2020-25717">\ +CVE-2020-25717</a>.html</p> + +<p>В предыдущем стабильном выпуске (buster) эта проблема была исправлена +в версии 2:4.9.5+dfsg-5+deb10u2. Кроме того, это обновление снижает риск от +<a href="https://security-tracker.debian.org/tracker/CVE-2020-25722">CVE-2020-25722</a>. +К сожалению, изменения потребовали исправить дополнительные +CVE, касающиеся Samba при использовании в качестве совместимого с AD контроллера домена, +которые являются слишком серьёзными, чтобы осуществить их обратный перенос. Таким образом, +пользователя, использующим Samba в качестве совместимого с AD контроллера +домена, настоятельно рекомендуется перейти на использование Debian bullseye. С этого +момента использование совместимого с AD контроллера домена более не поддерживается +в предыдущем выпуске Debian.</p> + +<p>Рекомендуется обновить пакеты samba.</p> + +<p>С подробным статусом поддержки безопасности samba можно ознакомиться на +соответствующей странице отслеживания безопасности по адресу +<a href="https://security-tracker.debian.org/tracker/samba">\ +https://security-tracker.debian.org/tracker/samba</a></p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2021/dsa-5015.data" - -# $Id: $ -----BEGIN PGP SIGNATURE-----
iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAmGmTXAACgkQXudu4gIW 0qXazA/8CYWHimehM6GAqOm+VzBan1mPdLEJ42VoKyJSGyQ2IN131YavL80WgSmy lO78cyAHbQtzVvtVINpaM18ooC+krs74RHomNkRYMCXhGvLmr+vURmmC4K8uW0Mq gp+w7O+5JeFQV6vgQPl0toq4CWNXU2U7iSCMB883dUraKWqPMflsVMhdTc/mTEZ6 bvqkoTBzsN28NO91hcKLCHxfXHT+nmlOqjsSCQoXavTn9trYDtGAwG0lgzxHYXGR g+pIA7bwSg3mB3V88tt96/Z9vBEqkSGIQzjqAgFXSkff1AKpCHCeL+yBcju3bvu/ /Ld1RSJyJTJJrWqbmnlXu+aDSWlL2FOjuWj5ohSFssGjn5wbKmmC3xOrct2mEdBU g/QYALxhFjVemqmptXtwtE27grzjhxMqriv2UzZRJfsDLvOoCKCcEgNlJrxD7gLH Sls2JQMsBfpVo55ID4LbL1MIrdC/OKDsLkyMv0oj47wlLCOgzm1WganLdCOuKsGt oghqZkcWGOhYtesWJ5SIq5WG8zqPFRYT6qjHm5dZDxacgsnBFB2Cl64l6rWX/H+N svKv8LTgk2P7uem1tAQLr6OlekwXWuX6ljo1FGAs3R6KngDQUo+ZOF1uDzYpvnsO cX61/xRuZfcNzfbhv62xOofZMuxb9nokNKA1QdWSyaS7PpaJyaM= =5wns -----END PGP SIGNATURE-----