Vývojáři softwaru Samba zveřejnili v úterý bezpečnostní opravy softwaru, který umožňuje síťové sdílení prostředků mezi operačními systémy Windows, Linux, BSD a Mac OS X. Tato chyba umožňuje spuštění libovolného kódu v počítačích se systémem Linux, BSD nebo Mac OS X, které mají spuštěnu službu Samba. Chyba má označení CVE-2012-1182 a nachází se v kódu Samby, který má na starosti vzdálené volání procedur (RPC), přesněji jejich převod do formátu NDR. Klient díky ní může v systému spustit vlastní kód jako superuživatel root bez toho, aby se musel přihlašovat.
„Protože ke zneužití této chyby není potřeba autentikace do systému, jedná se o kritickou chybu, kterou by měli všichni uživatelé neprodleně opravit,“ doporučuje vývojový tým Samby. Chyba se týká všech verzí Samby od 3.0 do 3.6.3 včetně, vyskytuje se tedy již téměř pět let. Vývojáři aplikace doporučují aktualizaci na verzi 3.6.4, 3.5.14, nebo 3.4.16, ve kterých již byla chyba opravena. Další možností je použití opravných balíčků na stávající verzi bez nutnosti aktualizace.
Chyba je natolik závažná, že se vývojáři rozhodli aktualizovat i verze, které již nejsou oficiálně podporovány, oznámil Carsten Eiram, vedoucí specialista na zabezpečení společnosti Secunia. Ta označila chybu za středně závažnou, protože většina instalací Samby je spuštěna pouze v rámci lokální sítě. Sambu je ale možno používat i v internetu a v takovém případě je nutno považovat chybu za kritickou, vysvětlil Eiram.
Eiram také upozornil na to, že Sambu používají kromě osobních počítačů i různá zařízení s integrovaným OS Linux nebo BSD. Proto tato chyba nabízí zajímavý cíl případným útočníkům. Aktualizace těchto zařízení totiž uživatelé většinou neprovádějí příliš svědomitě a ani výrobci nejsou příliš pružní při vydávání nových firmwarů.