ΠΡΠ±Π»ΠΈΠΊΡΠ²Π°Π½ΠΈ ΡΠ° ΠΊΠΎΡΠΈΠ³ΠΈΡΠ°ΡΠΈ Π²Π΅ΡΡΠΈΠΈ Π½Π° ΠΏΠ°ΠΊΠ΅ΡΠ° Samba 4.15.2, 4.14.10 ΠΈ 4.13.14 Ρ Π΅Π»ΠΈΠΌΠΈΠ½ΠΈΡΠ°Π½Π΅ΡΠΎ Π½Π° 8 ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ, ΠΏΠΎΠ²Π΅ΡΠ΅ΡΠΎ ΠΎΡ ΠΊΠΎΠΈΡΠΎ ΠΌΠΎΠ³Π°Ρ Π΄Π° Π΄ΠΎΠ²Π΅Π΄Π°Ρ Π΄ΠΎ ΠΏΡΠ»Π΅Π½ ΠΊΠΎΠΌΠΏΡΠΎΠΌΠ΅Ρ Π½Π° Π΄ΠΎΠΌΠ΅ΠΉΠ½ Π½Π° Active Directory. Π’ΡΡΠ±Π²Π° Π΄Π° ΡΠ΅ ΠΎΡΠ±Π΅Π»Π΅ΠΆΠΈ, ΡΠ΅ Π΅Π΄ΠΈΠ½ ΠΎΡ ΠΏΡΠΎΠ±Π»Π΅ΠΌΠΈΡΠ΅ Π΅ ΠΎΡΡΡΡΠ°Π½Π΅Π½ ΠΎΡ 2016 Π³. ΠΈ ΠΏΠ΅Ρ ΠΎΡ 2020 Π³., Π½ΠΎ Π΅Π΄Π½Π° ΠΊΠΎΡΠ΅ΠΊΡΠΈΡ Π΄ΠΎΠ²Π΅Π΄Π΅ Π΄ΠΎ Π½Π΅Π²ΡΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ Π·Π° ΡΡΠ°ΡΡΠΈΡΠ°Π½Π΅ Π½Π° winbindd Ρ Π½Π°ΡΡΡΠΎΠΉΠΊΠ°ΡΠ° βΡΠ°Π·ΡΠ΅ΡΠ°Π²Π°Π½Π΅ Π½Π° Π΄ΠΎΠ²Π΅ΡΠ΅Π½ΠΈ Π΄ΠΎΠΌΠ΅ΠΉΠ½ΠΈ = Π½Π΅β (ΡΠ°Π·ΡΠ°Π±ΠΎΡΡΠΈΡΠΈΡΠ΅ Π²ΡΠ·Π½Π°ΠΌΠ΅ΡΡΠ²Π°Ρ Π½Π΅Π·Π°Π±Π°Π²Π½ΠΎ Π΄Π° ΠΏΡΠ±Π»ΠΈΠΊΡΠ²Π°Ρ Π΄ΡΡΠ³Π° Π°ΠΊΡΡΠ°Π»ΠΈΠ·Π°ΡΠΈΡ Ρ ΠΏΠΎΠΏΡΠ°Π²ΠΊΠ°). ΠΡΡΠΊΠ°Π½Π΅ΡΠΎ Π½Π° Π°ΠΊΡΡΠ°Π»ΠΈΠ·Π°ΡΠΈΠΈ Π½Π° ΠΏΠ°ΠΊΠ΅ΡΠΈ Π² Π΄ΠΈΡΡΡΠΈΠ±ΡΡΠΈΠΈ ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ ΠΏΡΠΎΡΠ»Π΅Π΄ΠΈ Π½Π° ΡΡΡΠ°Π½ΠΈΡΠΈΡΠ΅: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Π€ΠΈΠΊΡΠΈΡΠ°Π½ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ:
- CVE-2020-25717 β ΠΠΎΡΠ°Π΄ΠΈ Π³ΡΠ΅ΡΠΊΠ° Π² Π»ΠΎΠ³ΠΈΠΊΠ°ΡΠ° Π½Π° ΡΡΠΏΠΎΡΡΠ°Π²ΡΠ½Π΅ Π½Π° ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΠΈ Π½Π° Π΄ΠΎΠΌΠ΅ΠΉΠ½ ΠΊΡΠΌ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΠΈ Π½Π° Π»ΠΎΠΊΠ°Π»Π½Π° ΡΠΈΡΡΠ΅ΠΌΠ°, ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π» Π½Π° Π΄ΠΎΠΌΠ΅ΠΉΠ½ Π½Π° Active Directory, ΠΊΠΎΠΉΡΠΎ Π΅ ΡΡΠΏΡΠ» Π΄Π° ΡΡΠ·Π΄Π°Π΄Π΅ Π½ΠΎΠ²ΠΈ Π°ΠΊΠ°ΡΠ½ΡΠΈ Π² ΡΠ²ΠΎΡΡΠ° ΡΠΈΡΡΠ΅ΠΌΠ°, ΡΠΏΡΠ°Π²Π»ΡΠ²Π°Π½Π° ΡΡΠ΅Π· ms-DS-MachineAccountQuota, ΠΌΠΎΠΆΠ΅ Π΄Π° ΠΏΠΎΠ»ΡΡΠΈ root Π΄ΠΎΡΡΡΠΏ Π΄ΠΎ Π΄ΡΡΠ³ΠΈ Π΄ΠΎΠΌΠ΅ΠΉΠ½ ΡΠΈΡΡΠ΅ΠΌΠΈ.
- CVE-2021-3738 - ΠΠΎΡΡΡΠΏ Π΄ΠΎ Π²Π΅ΡΠ΅ ΠΎΡΠ²ΠΎΠ±ΠΎΠ΄Π΅Π½Π° ΠΎΠ±Π»Π°ΡΡ ΠΎΡ ΠΏΠ°ΠΌΠ΅ΡΡΠ° (ΠΠ·ΠΏΠΎΠ»Π·Π²Π°Π½Π΅ ΡΠ»Π΅Π΄ ΠΎΡΠ²ΠΎΠ±ΠΎΠΆΠ΄Π°Π²Π°Π½Π΅) ΠΏΡΠΈ Π²Π½Π΅Π΄ΡΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° Samba AD DC RPC ΡΡΡΠ²ΡΡ (dsdb), ΠΊΠΎΠ΅ΡΠΎ ΠΏΠΎΡΠ΅Π½ΡΠΈΠ°Π»Π½ΠΎ ΠΌΠΎΠΆΠ΅ Π΄Π° Π΄ΠΎΠ²Π΅Π΄Π΅ Π΄ΠΎ Π΅ΡΠΊΠ°Π»Π°ΡΠΈΡ Π½Π° ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΈ ΠΏΡΠΈ ΠΌΠ°Π½ΠΈΠΏΡΠ»ΠΈΡΠ°Π½Π΅ Π½Π° ΡΡΡΠ°Π½ΠΎΠ²ΡΠ²Π°Π½Π΅ Π½Π° Π²ΡΡΠ·ΠΊΠ°.
- CVE-2016-2124 - ΠΠ»ΠΈΠ΅Π½ΡΡΠΊΠΈΡΠ΅ Π²ΡΡΠ·ΠΊΠΈ, ΡΡΡΠ°Π½ΠΎΠ²Π΅Π½ΠΈ Ρ ΠΏΠΎΠΌΠΎΡΡΠ° Π½Π° ΠΏΡΠΎΡΠΎΠΊΠΎΠ»Π° SMB1, ΠΌΠΎΠ³Π°Ρ Π΄Π° Π±ΡΠ΄Π°Ρ ΠΏΡΠ΅Π²ΠΊΠ»ΡΡΠ²Π°Π½ΠΈ Π·Π° ΠΏΡΠ΅Π΄Π°Π²Π°Π½Π΅ Π½Π° ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΈ Π·Π° ΡΠ΄ΠΎΡΡΠΎΠ²Π΅ΡΡΠ²Π°Π½Π΅ Π² ΡΡΠ΅Π½ ΡΠ΅ΠΊΡΡ ΠΈΠ»ΠΈ ΡΡΠ΅Π· NTLM (Π½Π°ΠΏΡΠΈΠΌΠ΅Ρ Π·Π° ΠΎΠΏΡΠ΅Π΄Π΅Π»ΡΠ½Π΅ Π½Π° ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΈΠΎΠ½Π½ΠΈ Π΄Π°Π½Π½ΠΈ ΠΏΡΠΈ ΠΈΠ·Π²ΡΡΡΠ²Π°Π½Π΅ Π½Π° MITM Π°ΡΠ°ΠΊΠΈ), Π΄ΠΎΡΠΈ Π°ΠΊΠΎ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΡΡ ΠΈΠ»ΠΈ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅ΡΠΎ ΠΈΠΌΠ°Ρ Π·Π°Π΄ΡΠ»ΠΆΠΈΡΠ΅Π»Π½ΠΎ ΡΠ΄ΠΎΡΡΠΎΠ²Π΅ΡΡΠ²Π°Π½Π΅ ΡΡΠ΅Π· Kerberos.
- CVE-2020-25722 - ΠΠ°Π·ΠΈΡΠ°Π½ΠΈΡΡ Π½Π° Samba Π΄ΠΎΠΌΠ΅ΠΉΠ½ ΠΊΠΎΠ½ΡΡΠΎΠ»Π΅Ρ Π½Π° Active Directory Π½Π΅ ΠΈΠ·Π²ΡΡΡΠ²Π°ΡΠ΅ ΠΏΡΠ°Π²ΠΈΠ»Π½ΠΈ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈ Π·Π° Π΄ΠΎΡΡΡΠΏ Π΄ΠΎ ΡΡΡ ΡΠ°Π½Π΅Π½ΠΈ Π΄Π°Π½Π½ΠΈ, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π°ΠΉΠΊΠΈ Π½Π° Π²ΡΠ΅ΠΊΠΈ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π» Π΄Π° Π·Π°ΠΎΠ±ΠΈΠΊΠΎΠ»ΠΈ ΠΏΡΠΎΠ²Π΅ΡΠΊΠΈΡΠ΅ Π·Π° ΠΎΡΠΎΡΠΈΠ·Π°ΡΠΈΡ ΠΈ Π½Π°ΠΏΡΠ»Π½ΠΎ Π΄Π° ΠΊΠΎΠΌΠΏΡΠΎΠΌΠ΅ΡΠΈΡΠ° Π΄ΠΎΠΌΠ΅ΠΉΠ½Π°.
- CVE-2020-25718 - ΠΠΈΠ»Π΅ΡΠΈΡΠ΅ Π·Π° Kerberos, ΠΈΠ·Π΄Π°Π΄Π΅Π½ΠΈ ΠΎΡ ΠΊΠΎΠ½ΡΡΠΎΠ»Π΅Ρ Π½Π° Π΄ΠΎΠΌΠ΅ΠΉΠ½ ΡΠ°ΠΌΠΎ Π·Π° ΡΠ΅ΡΠ΅Π½Π΅ (RODC), Π½Π΅ Π±ΡΡ Π° ΠΏΡΠ°Π²ΠΈΠ»Π½ΠΎ ΠΈΠ·ΠΎΠ»ΠΈΡΠ°Π½ΠΈ Π² Π±Π°Π·ΠΈΡΠ°Π½ Π½Π° Samba Π΄ΠΎΠΌΠ΅ΠΉΠ½ ΠΊΠΎΠ½ΡΡΠΎΠ»Π΅Ρ Π½Π° Active Directory, ΠΊΠΎΠΉΡΠΎ ΠΌΠΎΠΆΠ΅ΡΠ΅ Π΄Π° ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° Π·Π° ΠΏΠΎΠ»ΡΡΠ°Π²Π°Π½Π΅ Π½Π° Π±ΠΈΠ»Π΅ΡΠΈ Π½Π° Π°Π΄ΠΌΠΈΠ½ΠΈΡΡΡΠ°ΡΠΎΡ ΠΎΡ RODC, Π±Π΅Π· Π΄Π° ΠΈΠΌΠ°ΡΠ΅ ΠΏΡΠ°Π²ΠΎΠΌΠΎΡΠΈΡΡΠ° Π΄Π° Π³ΠΎ Π½Π°ΠΏΡΠ°Π²ΠΈΡΠ΅ ΡΠ°ΠΊΠ°.
- CVE-2020-25719 - ΠΠ°Π·ΠΈΡΠ°Π½ΠΈΡΡ Π½Π° Samba Π΄ΠΎΠΌΠ΅ΠΉΠ½ ΠΊΠΎΠ½ΡΡΠΎΠ»Π΅Ρ Π½Π° Active Directory Π½Π΅ Π²ΠΈΠ½Π°Π³ΠΈ Π²Π·Π΅ΠΌΠ°ΡΠ΅ ΠΏΠΎΠ΄ Π²Π½ΠΈΠΌΠ°Π½ΠΈΠ΅ SID ΠΈ PAC ΠΏΠΎΠ»Π΅ΡΠ°ΡΠ° Π² Kerberos Π±ΠΈΠ»Π΅ΡΠΈΡΠ΅ ΠΏΡΠΈ ΠΎΠ±Π²ΡΡΠ·Π²Π°Π½Π΅ΡΠΎ (ΠΊΠΎΠ³Π°ΡΠΎ ΡΠ΅ Π·Π°Π΄Π°Π΄Π΅ "gensec:require_pac = true", ΡΠ°ΠΌΠΎ ΠΈΠΌΠ΅ΡΠΎ Π±Π΅ΡΠ΅ ΠΏΡΠΎΠ²Π΅ΡΠ΅Π½ΠΎ ΠΈ PAC Π±Π΅ΡΠ΅ Π½Π΅ Π΅ Π²Π·Π΅ΡΠΎ ΠΏΡΠ΅Π΄Π²ΠΈΠ΄), ΠΊΠΎΠ΅ΡΠΎ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π½Π° ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»Ρ, ΠΊΠΎΠΉΡΠΎ ΠΈΠΌΠ° ΠΏΡΠ°Π²ΠΎ Π΄Π° ΡΡΠ·Π΄Π°Π²Π° Π°ΠΊΠ°ΡΠ½ΡΠΈ Π² Π»ΠΎΠΊΠ°Π»Π½Π°ΡΠ° ΡΠΈΡΡΠ΅ΠΌΠ°, Π΄Π° ΡΠ΅ ΠΏΡΠ΅Π΄ΡΡΠ°Π²Ρ Π·Π° Π΄ΡΡΠ³ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π» Π² Π΄ΠΎΠΌΠ΅ΠΉΠ½Π°, Π²ΠΊΠ»ΡΡΠΈΡΠ΅Π»Π½ΠΎ ΠΏΡΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡΠΎΠ²Π°Π½ΠΈ.
- CVE-2020-25721 - ΠΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΠΈΡΠ΅, ΡΠ΄ΠΎΡΡΠΎΠ²Π΅ΡΠ΅Π½ΠΈ ΡΡΠ΅Π· Kerberos, Π½Π΅ Π²ΠΈΠ½Π°Π³ΠΈ ΡΠ° ΠΏΠΎΠ»ΡΡΠ°Π²Π°Π»ΠΈ ΡΠ½ΠΈΠΊΠ°Π»Π½ΠΈ ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΠ°ΡΠΎΡΠΈ Π·Π° Active Directory (objectSid), ΠΊΠΎΠ΅ΡΠΎ ΠΌΠΎΠΆΠ΅ Π΄Π° Π΄ΠΎΠ²Π΅Π΄Π΅ Π΄ΠΎ ΠΏΡΠΈΠΏΠΎΠΊΡΠΈΠ²Π°Π½Π΅ Π½Π° Π΅Π΄ΠΈΠ½ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π» Ρ Π΄ΡΡΠ³.
- CVE-2021-23192 β ΠΠΎ Π²ΡΠ΅ΠΌΠ΅ Π½Π° MITM Π°ΡΠ°ΠΊΠ° Π±Π΅ΡΠ΅ Π²ΡΠ·ΠΌΠΎΠΆΠ½ΠΎ Π΄Π° ΡΠ΅ ΠΏΠΎΠ΄ΠΏΡΠ°Π²ΡΡ ΡΡΠ°Π³ΠΌΠ΅Π½ΡΠΈ Π² Π³ΠΎΠ»Π΅ΠΌΠΈ DCE/RPC Π·Π°ΡΠ²ΠΊΠΈ, ΠΊΠΎΠΈΡΠΎ Π±ΡΡ Π° ΡΠ°Π·Π΄Π΅Π»Π΅Π½ΠΈ Π½Π° Π½ΡΠΊΠΎΠ»ΠΊΠΎ ΡΠ°ΡΡΠΈ.
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: opennet.ru