Samba parandas 8 ohtlikku haavatavust

Avaldatud on Samba parandused 4.15.2, 4.14.10 ja 4.13.14, mis käsitlevad kaheksat haavatavust, millest enamik võivad viia Active Directory domeeni täieliku ohtu sattumiseni. Märkimisväärne on see, et ühte probleemi on parandatud alates 2016. aastast ja viit alates 2020. aastast. Üks parandus takistas aga winbindd-i töötamist, kui säte „luba usaldusväärsed domeenid = ei” oli lubatud (arendajad kavatsevad parandusega viivitamatult avaldada uue värskenduse). Pakettide värskenduste avaldamist distributsioonides saab jälgida järgmistel lehtedel: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.

Parandatud haavatavused:

  • CVE-2020-25717 - Domeenikasutajate ja kohalike süsteemikasutajate kaardistamise loogikavea tõttu võis Active Directory domeenikasutaja, kellel oli võimalus oma süsteemis uusi kontosid luua ja mida hallatakse ms-DS-MachineAccountQuota kaudu, saada juurjuurdepääsu teistele domeeni süsteemidele. domeen.
  • CVE-2021-3738 on Samba AD DC RPC-serveri juurutuse (dsdb) kasutamine pärast vaba juurdepääsu, mis võib ühenduste manipuleerimisel põhjustada õiguste eskaleerumist.
  • CVE-2016-2124 – SMB1-protokolli kasutades loodud kliendiühendusi saab lülitada autentimisparameetrite edastamisele selgeteksti või NTLM-i kaudu (näiteks mandaatide määramiseks MITM-rünnakute ajal), isegi kui kasutajal või rakendusel on kohustuslikuks määratud sätted autentimine Kerberose kaudu.
  • CVE-2020-25722 – Samba-põhine Active Directory domeenikontroller ei kontrollinud õigesti juurdepääsu salvestatud andmetele, võimaldades igal kasutajal volituste kontrollimisest mööda minna ja domeeni täielikult kahjustada.
  • CVE-2020-25718 – Samba-põhine Active Directory domeenikontroller ei eraldanud õigesti RODC (kirjutuskaitstud domeenikontrolleri) väljastatud Kerberose pileteid, mida saaks kasutada RODC-lt administraatoripiletite hankimiseks ilma selleks loata.
  • CVE-2020-25719 – Samba-põhine Active Directory domeenikontroller ei võtnud Kerberose piletites alati SID- ja PAC-välju arvesse ("gensec:require_pac = true" määramisel kontrolliti ainult nime ja PAC-i ei võetud arvesse), mis võimaldas kasutajal , kellel on õigus luua kohalikus süsteemis kontosid, esineda domeenis teise kasutajana, sealhulgas privilegeeritud kasutajana.
  • CVE-2020-25721 – Kerberose abil autentitud kasutajatele ei väljastatud alati unikaalset Active Directory identifikaatorit (objectSid), mis võib põhjustada ühe kasutaja ristumisi.
  • CVE-2021-23192 – MITM-i rünnaku ajal oli võimalik võltsida fragmente mitmeks osaks jagatud suurtes DCE/RPC päringutes.

Allikas: opennet.ru

Ostke DDoS-kaitsega saitide jaoks usaldusväärne hostimine, VPS VDS-serverid 🔥 Osta usaldusväärne veebimajutus DDoS-kaitsega, VPS VDS serverid | ProHoster