Korrektiewe vrystellings van die Samba 4.15.2, 4.14.10 en 4.13.14-pakket is gepubliseer met die uitskakeling van 8 kwesbaarhede, waarvan die meeste kan lei tot 'n volledige kompromie van 'n Active Directory-domein. Dit is opmerklik dat een van die probleme sedert 2016 opgelos is, en vyf sedert 2020, maar een oplossing het gelei tot die onvermoë om winbindd te begin met die "laat vertroude domeine toe = nee" instelling (die ontwikkelaars is van plan om dadelik 'n ander opdatering te publiseer met 'n regstelling). Die vrystelling van pakketopdaterings in verspreidings kan nagespoor word op die bladsye: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Vaste kwesbaarhede:
- CVE-2020-25717 - As gevolg van 'n fout in die logika van die kartering van domeingebruikers aan plaaslike stelselgebruikers, kan 'n Active Directory-domeingebruiker wat nuwe rekeninge op hul stelsel kon skep wat deur ms-DS-MachineAccountQuota bestuur word, worteltoegang tot ander kry domein stelsels.
- CVE-2021-3738 - Toegang tot 'n reeds vrygestelde geheue-area (Gebruik na gratis) in die implementering van die Samba AD DC RPC-bediener (dsdb), wat moontlik kan lei tot voorregte-eskalasie wanneer verbindingsvestiging gemanipuleer word.
- CVE-2016-2124 - Kliëntverbindings wat met die SMB1-protokol tot stand gebring is, kan omgeskakel word om verifikasieparameters in gewone teks of via NTLM deur te gee (byvoorbeeld om geloofsbriewe te bepaal wanneer MITM-aanvalle uitgevoer word), selfs al het die gebruiker of toepassing 'n verpligte verifikasie via Kerberos .
- CVE-2020-25722 - Samba-gebaseerde Active Directory-domeinbeheerder het nie behoorlike gestoorde datatoegangskontroles uitgevoer nie, wat enige gebruiker in staat stel om magtigingskontroles te omseil en die domein heeltemal in gevaar te stel.
- CVE-2020-25718 - Kerberos-kaartjies wat deur RODC's (Leesalleen-domeinbeheerders) uitgereik is, is nie korrek geïsoleer in 'n Samba-gebaseerde Active Directory-domeinbeheerder nie, wat gebruik kan word om administrateurkaartjies van die RODC te verkry sonder om toestemming te hê om dit te doen.
- CVE-2020-25719 - Samba-gebaseerde Active Directory-domeinbeheerder het nie altyd die SID- en PAC-velde in Kerberos-kaartjies in die binding in ag geneem nie (wanneer "gensec:require_pac = true" gestel is, is net die naam nagegaan, en PAC was nie in ag geneem nie), wat die gebruiker toegelaat het, wat die reg het om rekeninge op die plaaslike stelsel te skep, 'n ander gebruiker in die domein naboots, insluitend bevoorregtes.
- CVE-2020-25721 - Gebruikers wat met Kerberos geverifieer is, is nie altyd unieke identifiseerders vir Active Directory (objectSid) gegee nie, wat kan lei tot oorvleueling van een gebruiker met 'n ander.
- CVE-2021-23192 - Tydens 'n MITM-aanval was dit moontlik om fragmente te bedrieg in groot DCE/RPC-versoeke wat in verskeie dele verdeel is.
Bron: opennet.ru