Samba 4.15.2, 4.14.10 eta 4.13.14 adabakiak argitaratu dira, zortzi ahultasun konpontzen dituztenak, eta horietako gehienek Active Directory domeinu bat erabat konprometitu dezakete. Aipagarria da arazoetako bat 2016tik aurrera konpondu dela, eta bost 2020tik aurrera. Hala ere, adabaki batek winbindd exekutatzea eragotzi zuen "baimendu domeinu fidagarriak = ez" ezarpena gaituta zegoenean (garatzaileek konponketarekin beste eguneratze bat argitaratzeko asmoa dute berehala). Banaketetan paketeen eguneratzeen argitalpena orrialde hauetan jarrai daiteke: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Ahuleziak konponduta:
- CVE-2020-25717 - Domeinuko erabiltzaileak sistema lokaleko erabiltzaileekin mapatzeko logikaren akats bat dela eta, Active Directory domeinuko erabiltzaile batek, bere sisteman kontu berriak sortzeko gaitasuna badu eta ms-DS-MachineAccountQuota bidez kudeatuta, domeinuko beste sistemetarako root sarbidea lor lezake. domeinu.
- CVE-2021-3738 Samba AD DC RPC zerbitzariaren inplementazioan (dsdb) atzipen askearen ondoren Erabili da, eta horrek pribilegioak handitzea ekar dezake konexioak manipulatzean.
- CVE-2016-2124 - SMB1 protokoloa erabiliz ezarritako bezero-konexioak autentifikazio-parametroak testu garbian edo NTLM bidez pasa daitezke (adibidez, MITM erasoetan kredentzialak zehazteko), nahiz eta erabiltzaileak edo aplikazioak derrigorrezko ezarpenak zehaztuta izan. autentifikazioa Kerberos bidez.
- CVE-2020-25722 - Samba-n oinarritutako Active Directory domeinu-kontrolagailu batek ez zituen gordetako datuetan sarbide-egiaztapen egokiak egin, eta horri esker, edozein erabiltzailek autoritate-egiaztapenak saihestu eta domeinua erabat arriskuan jar ditzake.
- CVE-2020-25718 - Samba-n oinarritutako Active Directory domeinu-kontrolatzaileak ez zituen behar bezala isolatu RODC-k (Irakurtzeko soilik den domeinu-kontrolatzailea) igorritako Kerberos txartelak, eta hori baimenik gabe RODC-tik administratzaile-txartelak lortzeko erabil zitekeen.
- CVE-2020-25719 - Samba-n oinarritutako Active Directory domeinu-kontrolatzaileak ez zituen beti kontuan hartu Kerberos txarteletako SID eta PAC eremuak ("gensec:require_pac = true" ezartzean, izena bakarrik egiaztatu zen eta PAC ez zen hartu kontuan), eta horri esker, erabiltzaileari, tokiko sisteman kontuak sortzeko eskubidea duena, domeinuko beste erabiltzaile bat ordezkatzea ahalbidetzen zuen, pribilegiatua barne.
- CVE-2020-25721 - Kerberos erabiliz autentifikatu diren erabiltzaileentzat, ez zen beti Active Directory identifikatzaile esklusibo bat (objectSid) igorri, eta horrek erabiltzaile baten eta bestearen arteko elkarguneak sor ditzake.
- CVE-2021-23192 - MITM eraso batean, DCE/RPC eskaera handietan zatiak faltifikatzea posible izan zen hainbat zatitan banatuta.
Iturria: opennet.ru
