Objavljena su korektivna izdanja Samba paketa 4.15.2, 4.14.10 i 4.13.14 uz eliminaciju 8 ranjivosti, od kojih većina može dovesti do potpune kompromitacije Active Directory domena. Važno je napomenuti da je jedan od problema riješen od 2016. godine, a pet od 2020. godine, međutim, jedan popravak je onemogućio pokretanje winbindd sa postavkom „dopusti pouzdane domene = ne“ (programeri namjeravaju brzo objaviti još jedno ažuriranje sa popraviti). Izdavanje ažuriranja paketa u distribucijama može se pratiti na stranicama: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Ispravljene ranjivosti:
- CVE-2020-25717 - zbog greške u logici mapiranja korisnika domene na korisnike lokalnog sistema, korisnik domene Active Directory koji ima mogućnost kreiranja novih naloga na svom sistemu, kojim se upravlja putem ms-DS-MachineAccountQuota, mogao bi dobiti root pristup drugim sistemima uključenim u domenu.
- CVE-2021-3738 je upotreba nakon besplatnog pristupa u implementaciji Samba AD DC RPC servera (dsdb), što bi potencijalno moglo dovesti do eskalacije privilegija prilikom manipulacije vezama.
- CVE-2016-2124 - Klijentske veze uspostavljene korištenjem SMB1 protokola mogu se prebaciti na prosljeđivanje parametara provjere autentičnosti u čistom tekstu ili putem NTLM-a (na primjer, za određivanje vjerodajnica tokom MITM napada), čak i ako korisnik ili aplikacija imaju postavke navedene za obavezne autentifikacija putem Kerberosa.
- CVE-2020-25722 – Kontroler domena Active Directory baziran na Sambi nije izvršio ispravne provjere pristupa pohranjenim podacima, dozvoljavajući bilo kojem korisniku da zaobiđe provjere ovlaštenja i potpuno kompromituje domen.
- CVE-2020-25718 – Kontroler domena Active Directory baziran na Sambi nije ispravno izolirao Kerberos tikete koje je izdao RODC (Read-only domain controller), a koji bi se mogli koristiti za dobivanje administratorskih tiketa od RODC-a bez dozvole za to.
- CVE-2020-25719 – Kontroler domena Active Directory baziran na Sambi nije uvijek uzeo u obzir SID i PAC polja u Kerberos tiketima (prilikom postavljanja „gensec:require_pac = true“, samo je ime provjereno, a PAC nije uzet u račun), što je omogućilo korisniku, koji ima pravo da kreira naloge na lokalnom sistemu, lažno predstavlja drugog korisnika u domeni, uključujući i privilegovanog.
- CVE-2020-25721 – Za korisnike autentifikovane pomoću Kerberos-a, jedinstveni Active Directory identifikator (objectSid) nije uvijek bio izdavan, što bi moglo dovesti do ukrštanja između jednog i drugog korisnika.
- CVE-2021-23192 - Tokom MITM napada, bilo je moguće lažirati fragmente u velikim DCE/RPC zahtjevima podijeljenim na nekoliko dijelova.
izvor: opennet.ru