Samba 4.15.2, 4.14.10 eta 4.13.14 paketeen bertsio zuzentzaileak 8 ahultasun ezabatuz argitaratu dira, eta horietako gehienak Active Directory domeinuaren erabateko arriskua ekar dezakete. Azpimarratzekoa da arazoetako bat 2016az geroztik konpondu dela, eta bost 2020az geroztik, ordea, konponketa batek ezinezko egin duela winbindd abiaraztea "baimendu domeinu fidagarriak = ez" ezarpenarekin (garatzaileek beste eguneratze bat azkar argitaratzeko asmoa dute. konpondu). Banaketetan paketeen eguneratzeen askapenaren jarraipena egin daiteke orrialdeetan: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Ahuleziak konponduta:
- CVE-2020-25717 - domeinu-erabiltzaileak tokiko sistema-erabiltzaileei mapatzeko logikaren akats bat dela eta, bere sisteman kontu berriak sortzeko gaitasuna duen Active Directory domeinu-erabiltzaile batek, ms-DS-MachineAccountQuota bidez kudeatzen duena, root irabaz dezake. domeinuan sartutako beste sistemetarako sarbidea.
- CVE-2021-3738 Samba AD DC RPC zerbitzariaren inplementazioan (dsdb) atzipen askearen ondoren Erabili da, eta horrek pribilegioak handitzea ekar dezake konexioak manipulatzean.
- CVE-2016-2124 - SMB1 protokoloa erabiliz ezarritako bezero-konexioak autentifikazio-parametroak testu garbian edo NTLM bidez pasa daitezke (adibidez, MITM erasoetan kredentzialak zehazteko), nahiz eta erabiltzaileak edo aplikazioak derrigorrezko ezarpenak zehaztuta izan. autentifikazioa Kerberos bidez.
- CVE-2020-25722 - Samba-n oinarritutako Active Directory domeinu-kontrolagailu batek ez zituen gordetako datuetan sarbide-egiaztapen egokiak egin, eta horri esker, edozein erabiltzailek autoritate-egiaztapenak saihestu eta domeinua erabat arriskuan jar ditzake.
- CVE-2020-25718 - Samba-n oinarritutako Active Directory domeinu-kontrolatzaileak ez zituen behar bezala isolatu RODC-k (Irakurtzeko soilik den domeinu-kontrolatzailea) igorritako Kerberos txartelak, eta hori baimenik gabe RODC-tik administratzaile-txartelak lortzeko erabil zitekeen.
- CVE-2020-25719 - Samba-n oinarritutako Active Directory domeinu-kontrolatzaileak ez zituen beti kontuan hartu Kerberos txarteletako SID eta PAC eremuak ("gensec:require_pac = true" ezartzean, izena bakarrik egiaztatu zen eta PAC ez zen hartu kontuan), eta horri esker, erabiltzaileari, tokiko sisteman kontuak sortzeko eskubidea duena, domeinuko beste erabiltzaile bat ordezkatzea ahalbidetzen zuen, pribilegiatua barne.
- CVE-2020-25721 - Kerberos erabiliz autentifikatu diren erabiltzaileentzat, ez zen beti Active Directory identifikatzaile esklusibo bat (objectSid) igorri, eta horrek erabiltzaile baten eta bestearen arteko elkarguneak sor ditzake.
- CVE-2021-23192 - MITM eraso batean, DCE/RPC eskaera handietan zatiak faltifikatzea posible izan zen hainbat zatitan banatuta.
Iturria: opennet.ru