Korektigaj eldonoj de la Samba pako 4.15.2, 4.14.10 kaj 4.13.14 estis publikigitaj kun la elimino de 8 vundeblecoj, la plej multaj el kiuj povas konduki al kompleta kompromiso de la Active Directory-domajno. Estas rimarkinde, ke unu el la problemoj estas riparita ekde 2016, kaj kvin ekde 2020, tamen, unu riparo malebligis lanĉi winbindd kun la agordo "permesi fidindajn domajnojn = ne" (la programistoj intencas rapide publikigi alian ĝisdatigon kun ripari). La liberigo de pakaj ĝisdatigoj en distribuoj povas esti spurita sur la paĝoj: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Riparitaj vundeblecoj:
- CVE-2020-25717 - pro difekto en la logiko de mapado de domajnaj uzantoj al lokaj sistemaj uzantoj, Active Directory domajna uzanto kiu havas la kapablon krei novajn kontojn en sia sistemo, administritaj per ms-DS-MachineAccountQuota, povus akiri radikon. aliro al aliaj sistemoj inkluzivitaj en la domajno.
- CVE-2021-3738 estas Uzo post libera aliro en la Samba AD DC RPC-servila efektivigo (dsdb), kiu eble povus konduki al eskalado de privilegioj dum manipulado de konektoj.
- CVE-2016-2124 - Kliento-konektoj establitaj per la SMB1-protokolo povus esti ŝanĝitaj al pasigado de aŭtentikigparametroj en klara teksto aŭ per NTLM (ekzemple, por determini akreditaĵojn dum MITM-atakoj), eĉ se la uzanto aŭ aplikaĵo havas la agordojn specifitajn por deviga. aŭtentigo per Kerberos.
- CVE-2020-25722 - Regilo de Aktiva Dosierujo bazita en Samba ne faris taŭgajn alirkontrolojn pri stokitaj datumoj, permesante al iu ajn uzanto preteriri aŭtoritatajn kontrolojn kaj tute kompromiti la domajnon.
- CVE-2020-25718 - la Aktiva Directory-regilo bazita en Samba ne ĝuste izolis Kerberos-biletojn eldonitajn de la RODC (nurlegebla domajna regilo), kiu povus esti uzata por akiri administrantajn biletojn de la RODC sen permeso fari tion.
- CVE-2020-25719 - Samba-bazita Active Directory-regilo ne ĉiam enkalkulis la SID kaj PAC-kampojn en Kerberos-biletoj (dum fiksado "gensec:require_pac = true", nur la nomo estis kontrolita, kaj la PAC ne estis prenita en konton), kio permesis al la uzanto , kiu havas la rajton krei kontojn en la loka sistemo, personigi alian uzanton en la domajno, inkluzive de privilegiita.
- CVE-2020-25721 - Por uzantoj aŭtentikigitaj per Kerberos, unika Active Directory-identigilo (objectSid) ne ĉiam estis eldonita, kio povus konduki al intersekcoj inter unu uzanto kaj alia.
- CVE-2021-23192 - Dum MITM-atako, estis eble parodi fragmentojn en grandaj DCE/RPC-petoj dividitaj en plurajn partojn.
fonto: opennet.ru