Samba a Ubuntu: USN-8306-1 corregeix sis fallades, dues amb execució de codi

Canonical va publicar el 26 de maig de 2026 l’avís de seguretat USN-8306-1, que corregeix sis vulnerabilitats a Samba, el servidor de fitxers, impressió i autenticació SMB/CIFS que moltes xarxes barregen amb clients Windows. Dues de les fallades permeten execució de codi arbitrari, així que val la pena aplicar l’actualització com més aviat millor a qualsevol màquina que faci de servidor de fitxers o de controlador de domini Active Directory.

L’avís afecta Ubuntu 22.04 LTS, 24.04 LTS, 25.10 i la nova 26.04 LTS. No tots els CVE toquen totes les versions, però la recomanació és la mateixa: actualitzar el paquet de Samba amb apt update && apt full-upgrade i reiniciar el servei (smbd, nmbd i winbind segons calgui).

Què corregeix cada CVE

Les dues fallades més greus són les que permeten executar codi:

• CVE-2026-4408 afecta el servidor DCE/RPC SAMR. Una gestió incorrecta dels scripts de comprovació de contrasenyes permet que un atacant remot aconsegueixi execució de codi arbitrari al servidor. Afecta totes les versions cobertes per l’avís.
• CVE-2026-4480 és al subsistema d’impressió. El maneig deficient de les ordres d’impressió obre la mateixa via d’execució de codi. També present a totes les versions.

La resta són d’impacte menor però no menyspreable:

• CVE-2026-1933 permet modificar atributs estesos de reparse points en fitxers que haurien de ser de només lectura, saltant-se el control d’accés. Només afecta 25.10 i 26.04 LTS.
• CVE-2026-2340 és al mòdul vfs_worm, que serveix per fer fitxers immutables (write once, read many). La fallada deixa sobreescriure arxius que haurien de quedar bloquejats. Afecta totes les versions.
• CVE-2026-3238 provoca una denegació de servei al servidor WINS d’un controlador de domini Active Directory: un atacant remot pot tombar el servei. Afecta totes les versions.
• CVE-2026-3012 és una fallada d’inscripció automàtica de certificats que un atacant en posició d’intermediari podria fer servir per instal·lar un certificat de CA maliciós. Afecta 24.04 LTS, 25.10 i 26.04 LTS.

A qui afecta i com mitigar-ho

Qualsevol desplegament de Samba com a recurs compartit, com a controlador de domini o com a servidor d’impressió entra dins de l’abast. Les dues fallades d’execució de codi són les que justifiquen moure fitxa de pressa, sobretot si el servei queda exposat més enllà de la xarxa local.

Canonical ho deixa clar: una actualització estàndard del sistema aplica tots els canvis necessaris. No cal reconfigurar res, només instal·lar les versions amb pedaç i reiniciar els dimonis de Samba. Si depens de vfs_worm per a la retenció de dades o de la inscripció automàtica de certificats, repassa que aquests serveis segueixin funcionant després del pedaç.

Per a una visió de les versions d’Ubuntu amb suport i les seves dates de fi de suport, tens la fitxa d’Ubuntu.

Font

• Ubuntu Security Notice USN-8306-1: https://ubuntu.com/security/notices/USN-8306-1
• CVE-2026-4408: https://nvd.nist.gov/vuln/detail/CVE-2026-4408
• CVE-2026-4480: https://nvd.nist.gov/vuln/detail/CVE-2026-4480