Samba paketi 4.15.2, 4.14.10 ja 4.13.14 parandavad väljalasked on avaldatud koos 8 haavatavusega, millest enamik võib viia Active Directory domeeni täieliku ohustamiseni. Tähelepanuväärne on, et üks probleemidest on parandatud alates 2016. aastast ja viis alates 2020. aastast, kuid üks parandus muutis võimatuks winbindd käivitamise sättega "luba usaldusväärsed domeenid = ei" (arendajad kavatsevad avaldada kiiresti uue värskenduse koos parandada). Distributsioonide pakettide värskenduste väljaandmist saab jälgida lehtedel: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Parandatud haavatavused:
- CVE-2020-25717 – domeeni kasutajate ja kohaliku süsteemi kasutajatega vastendamise loogika vea tõttu võib Active Directory domeeni kasutaja, kellel on võimalus luua oma süsteemis uusi kontosid, mida hallatakse ms-DS-MachineAccountQuota kaudu, saada juurjuurdepääsu. juurdepääs teistele domeenis sisalduvatele süsteemidele.
- CVE-2021-3738 on Samba AD DC RPC-serveri juurutuse (dsdb) kasutamine pärast vaba juurdepääsu, mis võib ühenduste manipuleerimisel põhjustada õiguste eskaleerumist.
- CVE-2016-2124 – SMB1-protokolli kasutades loodud kliendiühendusi saab lülitada autentimisparameetrite edastamisele selgeteksti või NTLM-i kaudu (näiteks mandaatide määramiseks MITM-rünnakute ajal), isegi kui kasutajal või rakendusel on kohustuslikuks määratud sätted autentimine Kerberose kaudu.
- CVE-2020-25722 – Samba-põhine Active Directory domeenikontroller ei kontrollinud õigesti juurdepääsu salvestatud andmetele, võimaldades igal kasutajal volituste kontrollimisest mööda minna ja domeeni täielikult kahjustada.
- CVE-2020-25718 – Samba-põhine Active Directory domeenikontroller ei eraldanud õigesti RODC (kirjutuskaitstud domeenikontrolleri) väljastatud Kerberose pileteid, mida saaks kasutada RODC-lt administraatoripiletite hankimiseks ilma selleks loata.
- CVE-2020-25719 – Samba-põhine Active Directory domeenikontroller ei võtnud Kerberose piletites alati SID- ja PAC-välju arvesse ("gensec:require_pac = true" määramisel kontrolliti ainult nime ja PAC-i ei võetud arvesse), mis võimaldas kasutajal , kellel on õigus luua kohalikus süsteemis kontosid, esineda domeenis teise kasutajana, sealhulgas privilegeeritud kasutajana.
- CVE-2020-25721 – Kerberose abil autentitud kasutajatele ei väljastatud alati unikaalset Active Directory identifikaatorit (objectSid), mis võib põhjustada ühe kasutaja ristumisi.
- CVE-2021-23192 – MITM-i rünnaku ajal oli võimalik võltsida fragmente mitmeks osaks jagatud suurtes DCE/RPC päringutes.
Allikas: opennet.ru