Samba-patches 4.15.2, 4.14.10 og 4.13.14 er blevet udgivet, og de adresserer otte sårbarheder, hvoraf de fleste kan føre til fuldstændig kompromittering af et Active Directory-domæne. Det er værd at bemærke, at et af problemerne blev rettet siden 2016, og fem siden 2020. Én patch forhindrede dog winbindd i at køre, når indstillingen "allow trusted domains = no" var aktiveret (udviklerne har til hensigt straks at udgive en ny opdatering med rettelsen). Udgivelsen af pakkeopdateringer i distributioner kan spores på følgende sider: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Rettede sårbarheder:
- CVE-2020-25717 - På grund af en fejl i logikken for at knytte domænebrugere til lokale systembrugere, kunne en Active Directory-domænebruger med mulighed for at oprette nye konti på sit system, administreret via ms-DS-MachineAccountQuota, få root-adgang til andre systemer inden for domænet. domæne.
- CVE-2021-3738 - Adgang til et allerede frigjort hukommelsesområde (Brug efter gratis) i implementeringen af Samba AD DC RPC-serveren (dsdb), hvilket potentielt kan føre til privilegieeskalering ved manipulation af forbindelsesetablering.
- CVE-2016-2124 - Klientforbindelser etableret ved hjælp af SMB1-protokollen kan skiftes til at videregive godkendelsesparametre i klartekst eller via NTLM (for eksempel for at bestemme legitimationsoplysninger, når der udføres MITM-angreb), selvom brugeren eller applikationen har en obligatorisk godkendelse via Kerberos .
- CVE-2020-25722 - Samba-baseret Active Directory-domænecontroller udførte ikke korrekte kontroller af lagret dataadgang, hvilket tillod enhver bruger at omgå autorisationstjek og fuldstændigt kompromittere domænet.
- CVE-2020-25718 - Kerberos-billetter udstedt af RODC'er (skrivebeskyttede domænecontrollere) var ikke korrekt isoleret i en Samba-baseret Active Directory-domænecontroller, som kunne bruges til at få administratorbilletter fra RODC'en uden at have tilladelse til det.
- CVE-2020-25719 - Samba-baseret Active Directory-domænecontroller tog ikke altid højde for SID- og PAC-felterne i Kerberos-billetter i bindingen (ved indstilling af "gensec:require_pac = true", blev kun navnet kontrolleret, og PAC blev ikke taget i betragtning), hvilket tillod brugeren , som har ret til at oprette konti på det lokale system, efterligne en anden bruger på domænet, inklusive privilegerede.
- CVE-2020-25721 - Brugere, der blev godkendt ved hjælp af Kerberos, fik ikke altid unikke identifikatorer for Active Directory (objectSid), hvilket kunne føre til overlapning af en bruger med en anden.
- CVE-2021-23192 - Under et MITM-angreb var det muligt at forfalske fragmenter i store DCE/RPC-anmodninger, der var opdelt i flere dele.
Kilde: opennet.ru
