近日，我司监测到Samba发布安全公告，修复了2个存在于Samba软件中的安全漏洞。

Samba是用于Linux和Unix的标准Windows互操作性程序套件，旨在提供安全、稳定和快速的文件和打印服务。

漏洞详情如下：

1.CVE-2022-3437 Samba缓冲区溢出漏洞

风险等级：中危

漏洞类型：缓冲区溢出

漏洞简介：该漏洞存在于Heimdal（包含在Samba中）GSSAPI库中的unwrap_des()和unwrap_des3()例程中，在默认情况下，当Samba被编译为使用内部Heimdal Kerberos库时，会使用易受攻击的unwrap_des3()，因此该漏洞会影响以默认构建选项构建的文件服务器部署。

2.CVE-2022-3592 共享目录逃逸漏洞

风险等级：中危

漏洞类型：目录穿越

漏洞简介：该漏洞是由于Samba 4.17以来在用户空间中引入的符号链接没有正确覆盖，导致恶意用户可以通过创建符号链接，使smbd摆脱配置的共享路径，并利用该漏洞访问服务器的所有文件系统。

影响版本:

CVE-2022-3437：

• 4.15.0 <= Samba < 4.15.11
• 4.16.0 <= Samba < 4.16.6
• 4.17.0 <= Samba < 4.17.2

CVE-2022-3592：

• 4.17.0 <= Samba < 4.17.2

安全版本:

CVE-2022-3437：

• Samba = 4.15.11
• Samba = 4.16.6
• Samba = 4.17.2

CVE-2022-3592：

• Samba = 4.17.2

修复建议：

官方已经针对漏洞发布了软件更新，下载地址如下：

• https://www.samba.org/samba/history/security.html