Samba-flikaĵoj 4.15.2, 4.14.10, kaj 4.13.14 estis publikigitaj, traktante ok vundeblecojn, el kiuj la plej multaj povus konduki al kompleta kompromitigo de Active Directory-domajno. Rimarkinde, unu el la problemoj estis flikita ekde 2016, kaj kvin ekde 2020. Tamen, unu flikaĵo malhelpis winbindd funkcii kiam la agordo "permesi fidindajn domajnojn = ne" estis ebligita (la programistoj intencas tuj publikigi alian ĝisdatigon kun la solvo). La eldono de pakaĵaj ĝisdatigoj en distribuaĵoj povas esti spurita sur la jenaj paĝoj: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Riparitaj vundeblecoj:
- CVE-2020-25717 - Pro difekto en la logiko por mapigi domajnajn uzantojn al lokaj sistemuzantoj, uzanto de Active Directory-domajno kun la kapablo krei novajn kontojn en sia sistemo, administritaj per ms-DS-MachineAccountQuota, povus akiri administran aliron al aliaj sistemoj ene de la domajno. domajno.
- CVE-2021-3738 estas Uzo post libera aliro en la Samba AD DC RPC-servila efektivigo (dsdb), kiu eble povus konduki al eskalado de privilegioj dum manipulado de konektoj.
- CVE-2016-2124 - Kliento-konektoj establitaj per la SMB1-protokolo povus esti ŝanĝitaj al pasigado de aŭtentikigparametroj en klara teksto aŭ per NTLM (ekzemple, por determini akreditaĵojn dum MITM-atakoj), eĉ se la uzanto aŭ aplikaĵo havas la agordojn specifitajn por deviga. aŭtentigo per Kerberos.
- CVE-2020-25722 - Regilo de Aktiva Dosierujo bazita en Samba ne faris taŭgajn alirkontrolojn pri stokitaj datumoj, permesante al iu ajn uzanto preteriri aŭtoritatajn kontrolojn kaj tute kompromiti la domajnon.
- CVE-2020-25718 - la Aktiva Directory-regilo bazita en Samba ne ĝuste izolis Kerberos-biletojn eldonitajn de la RODC (nurlegebla domajna regilo), kiu povus esti uzata por akiri administrantajn biletojn de la RODC sen permeso fari tion.
- CVE-2020-25719 - Samba-bazita Active Directory-regilo ne ĉiam enkalkulis la SID kaj PAC-kampojn en Kerberos-biletoj (dum fiksado "gensec:require_pac = true", nur la nomo estis kontrolita, kaj la PAC ne estis prenita en konton), kio permesis al la uzanto , kiu havas la rajton krei kontojn en la loka sistemo, personigi alian uzanton en la domajno, inkluzive de privilegiita.
- CVE-2020-25721 - Por uzantoj aŭtentikigitaj per Kerberos, unika Active Directory-identigilo (objectSid) ne ĉiam estis eldonita, kio povus konduki al intersekcoj inter unu uzanto kaj alia.
- CVE-2021-23192 - Dum MITM-atako, estis eble parodi fragmentojn en grandaj DCE/RPC-petoj dividitaj en plurajn partojn.
fonto: opennet.ru
