Korrigerende udgivelser af Samba 4.15.2, 4.14.10 og 4.13.14-pakken er blevet offentliggjort med eliminering af 8 sårbarheder, hvoraf de fleste kan føre til en fuldstændig kompromittering af et Active Directory-domæne. Det er bemærkelsesværdigt, at et af problemerne er blevet rettet siden 2016, og fem siden 2020, men en rettelse resulterede i manglende evne til at starte winbindd med indstillingen "tillad betroede domæner = nej" (udviklerne har til hensigt straks at udgive en anden opdatering med en rettelse). Frigivelsen af pakkeopdateringer i distributioner kan spores på siderne: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Rettede sårbarheder:
- CVE-2020-25717 - På grund af en fejl i logikken i at kortlægge domænebrugere til lokale systembrugere, kunne en Active Directory-domænebruger, der var i stand til at oprette nye konti på deres system administreret via ms-DS-MachineAccountQuota, få root-adgang til andre domænesystemer.
- CVE-2021-3738 - Adgang til et allerede frigjort hukommelsesområde (Brug efter gratis) i implementeringen af Samba AD DC RPC-serveren (dsdb), hvilket potentielt kan føre til privilegieeskalering ved manipulation af forbindelsesetablering.
- CVE-2016-2124 - Klientforbindelser etableret ved hjælp af SMB1-protokollen kan skiftes til at videregive godkendelsesparametre i klartekst eller via NTLM (for eksempel for at bestemme legitimationsoplysninger, når der udføres MITM-angreb), selvom brugeren eller applikationen har en obligatorisk godkendelse via Kerberos .
- CVE-2020-25722 - Samba-baseret Active Directory-domænecontroller udførte ikke korrekte kontroller af lagret dataadgang, hvilket tillod enhver bruger at omgå autorisationstjek og fuldstændigt kompromittere domænet.
- CVE-2020-25718 - Kerberos-billetter udstedt af RODC'er (skrivebeskyttede domænecontrollere) var ikke korrekt isoleret i en Samba-baseret Active Directory-domænecontroller, som kunne bruges til at få administratorbilletter fra RODC'en uden at have tilladelse til det.
- CVE-2020-25719 - Samba-baseret Active Directory-domænecontroller tog ikke altid højde for SID- og PAC-felterne i Kerberos-billetter i bindingen (ved indstilling af "gensec:require_pac = true", blev kun navnet kontrolleret, og PAC blev ikke taget i betragtning), hvilket tillod brugeren , som har ret til at oprette konti på det lokale system, efterligne en anden bruger på domænet, inklusive privilegerede.
- CVE-2020-25721 - Brugere, der blev godkendt ved hjælp af Kerberos, fik ikke altid unikke identifikatorer for Active Directory (objectSid), hvilket kunne føre til overlapning af en bruger med en anden.
- CVE-2021-23192 - Under et MITM-angreb var det muligt at forfalske fragmenter i store DCE/RPC-anmodninger, der var opdelt i flere dele.
Kilde: opennet.ru