Апублікаваны якія карэктуюць выпускі пакета Samba 4.15.2, 4.14.10 і 4.13.14 з ухіленнем 8 уразлівасцяў, большасць з якіх могуць прывесці да поўнай кампраметацыі дамена Active Directory. Характэрна, што адну з праблем выпраўлялі з 2016 года, а пяць - з 2020 года, тым не менш адно выпраўленне прывяло да немагчымасці запусціць winbindd пры наяўнасці налады "allow trusted domains = no" (распрацоўшчыкі маюць намер аператыўна апублікаваць яшчэ адно абнаўленне з выпраўленнем). Выпуск абнаўленняў пакетаў у дыстрыбутывах можна прасачыць на старонках: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Ухіленыя ўразлівасці:
- CVE-2020-25717 – з-за недапрацоўкі логікі мапінга карыстальнікаў дамена з карыстальнікамі лакальнай сістэмы, карыстальнік дамена Active Directory, які мае магчымасць ствараць новыя ўліковыя запісы на сваёй сістэме, якія кіруюцца праз ms-DS-MachineAccountQuota, мог атрымаць доступ з правамі root на іншыя. сістэмы, якія ўваходзяць у дамен.
- CVE-2021-3738 – зварот да ўжо вызваленай вобласці памяці (Use after free) у рэалізацыі RPC-сервера Samba AD DC (dsdb), якое патэнцыйна можа прывесці да павышэння прывілеяў пры маніпуляцыі з усталёўкай злучэнняў.
- CVE-2016-2124 — кліенцкія злучэнні, устаноўленыя з выкарыстаннем пратакола SMB1, маглі быць пераведзены на перадачу параметраў аўтэнтыфікацыі адкрытым тэкстам або праз NTLM (напрыклад, для вызначэння ўліковых дадзеных пры здзяйсненні MITM-нападаў), нават калі для карыстальніка або дадатку ў наладах вызначана абавязковая аўтэнтыфікацыя праз Kerberos.
- CVE-2020-25722 – у кантролеры дамена Active Directory на базе Samba не выконваліся належныя праверкі доступу да захоўваемых дадзеных, што дазваляла любому карыстачу абыйсці праверкі паўнамоцтваў і цалкам скампраметаваць дамен.
- CVE-2020-25718 – у кантролеры дамена Active Directory на базе Samba не карэктна ізаляваліся ticket-ы Kerberos, выдадзеныя RODC (Read-only domain controller), што магло выкарыстоўвацца для атрымання ў RODC тыкетаў адміністратара, не маючы на гэта паўнамоцтваў.
- CVE-2020-25719 - кантролер дамена Active Directory на базе Samba не заўсёды ўлічваў у звязку поля SID і PAC у ticket-ах Kerberos (пры наладзе «gensec:require_pac = true» правяралася толькі імя, а PAC не ўлічваўся), што дазваляла карыстачу , які мае права ствараць уліковыя запісы на лакальнай сістэме, выдаць сябе за іншага карыстальніка ў дамене, у тым ліку прывілеяванага.
- CVE-2020-25721 – для карыстальнікаў, якія прайшлі аўтэнтыфікацыю з выкарыстаннем Kerberos, выдаваліся не заўсёды ўнікальныя ідэнтыфікатары для Active Directory (objectSid), што магло прывесці да скрыжаванняў аднаго карыстальніка з іншым.
- CVE-2021-23192 – пры правядзенні MITM-напады мелася магчымасць падмены фрагментаў у вялікіх запытах DCE / RPC, якія разбіваюцца на некалькі частак.
Крыніца: opennet.ru