Nesta semana o projeto Samba publicou uma leva de correções de segurança para várias falhas que afetam servidores de arquivos, impressão e controladores de domínio, cobrindo os identificadores CVE-2026-1933, CVE-2026-2340, CVE-2026-3012, CVE-2026-3238, CVE-2026-4408 e CVE-2026-4480.

Essas vulnerabilidades permitem desde violação de políticas de integridade (WORM), passando por escalonamento lógico em compartilhamentos supostamente somente leitura, até execução remota de código em componentes sensíveis como SAMR (DCE/RPC) e subsistema de impressão, além de negação de serviço em um servidor WINS de Active Directory Domain Controller.

A correção oficial foi entregue nas versões 4.22.10, 4.23.8 e 4.24.3 do Samba, com distribuições como Debian, Ubuntu, SUSE, Amazon Linux e Red Hat publicando atualizações logo em seguida.

Descrição das Vulnerabilidades

Em geral as vulnerabilidades descobertas estão na tabela abaixo. Para fins de celeridade as descrições foram resumidas, mas informações mais detalhadas sobre cada uma das CVEs podem ser observadas nos anúncios oficiais do Samba, que serão redirecionados ao clicar no nome da CVE presente na tabela.

Versões Afetadas

De forma geral, todas as vulnerabilidades descritas afetam as séries estáveis do Samba anteriores às versões 4.22.10, 4.23.8 e 4.24.3, que são justamente os releases publicados para corrigir o pacote de falhas. O CERT-FR resume o escopo como: todas as versões 4.23.x anteriores à 4.23.8, todas as versões 4.24.x anteriores à 4.24.3 e qualquer versão anterior à 4.22.10.

Na prática, isso significa que servidores que ainda rodam 4.22.9 ou mais antigo, 4.23.7 ou mais antigo, ou qualquer versão 4.24.x antes da 4.24.3 devem ser considerados potencialmente vulneráveis até a aplicação dos patches.

Mitigações

Considerando o contexto de todas as vulnerabilidades publicadas nos últimos dias, alguns avisos citam uma classificação de risco agregada muito alta para o conjunto. Dessa forma, do ponto de vista, as principais recomendações são:

• Atualizar o Samba para as versões 4.22.10, 4.23.8 ou 4.24.3, as quais possuem a correção o mais rápido possível.
• Aplicar o patch disponibilizado no site oficial para as versões afetadas 4.22.9, 4.23.7 e 4.24.2.
• Revisar configurações não padrão em smb.conf, especialmente check password script, print command, módulos VFS como vfs_worm e uso de WINS.
• Endurecer a infraestrutura de AD relacionada a certificados, garantindo que autoenrolamento não dependa de canais HTTP inseguros.
• Reduzir superfície de ataque desativando serviços legados (como WINS), além de restringir a exposição de serviços Samba apenas às redes necessárias.

Referências

[1] SAMBA TEAM. Samba Security Advisories – CVE-2026-1933, CVE-2026-2340, CVE-2026-3012, CVE-2026-3238, CVE-2026-4408, CVE-2026-4480. Disponível em: <https://www.samba.org/samba/security/> (links individuais para cada CVE). Acesso em: 29 mai. 2026.

[2] CYBERSECURITY-HELP. SB2026052704 – Multiple vulnerabilities in Samba. Disponível em: <https://www.cybersecurity-help.cz/vdb/SB2026052704>. Acesso em: 29 mai. 2026.

[3] CERT-FR (ANSSI). Multiples vulnérabilités dans Samba (CERTFR-2026-AVI-0651). Disponível em: <https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0651/>. Acesso em: 29 mai. 2026.

[4] BAGNALL, Douglas. Samba 4.24.3, 4.23.8 and 4.22.10 Security Releases are available for Download. Disponível em: <https://seclists.org/oss-sec/2026/q2/711>. Acesso em: 29 mai. 2026.