Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Samba (CVE-2018-16857)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/11/2018
Última modificación:
09/10/2019

Descripción

Samba, desde la versión 4.9.0 y antes de la versión 4.9.3, con las configuraciones AD DC buscando malas contraseñas (para restringir la adivinación de contraseñas por fuerza bruta) durante más de 3 minutos podría no buscar malas contraseñas en absoluto. El riesgo principal de este problema está relacionado con los dominios que se han actualizado desde Samba 4.8 y anteriores. En estos casos, las pruebas manuales realizadas para confirmar que las políticas de contraseña de una organización se aplican como deberían podrían no volver a realizarse tras la actualización.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:samba:samba:*:*:*:*:*:*:*:* 4.9.0 (incluyendo) 4.9.3 (excluyendo)