نسخه های اصلاحی بسته Samba 4.15.2، 4.14.10 و 4.13.14 با حذف 8 آسیب پذیری منتشر شده است که اکثر آنها می توانند منجر به به خطر افتادن کامل دامنه Active Directory شوند. قابل ذکر است که یکی از مشکلات از سال 2016 و پنج مشکل از سال 2020 برطرف شده است، اما با یک اصلاح، راه اندازی winbindd با تنظیم "مجاز به دامنه های قابل اعتماد = خیر" غیرممکن شد (توسعه دهندگان قصد دارند به سرعت به روز رسانی دیگری را با یک ثابت). انتشار بهروزرسانیهای بسته در توزیعها را میتوان در صفحات ردیابی کرد: Debian، Ubuntu، RHEL، SUSE، Fedora، Arch، FreeBSD.
رفع آسیب پذیری ها:
- CVE-2020-25717 - به دلیل نقص در منطق نگاشت کاربران دامنه به کاربران سیستم محلی، یک کاربر دامنه اکتیو دایرکتوری که توانایی ایجاد حساب های جدید در سیستم خود را دارد که از طریق ms-DS-MachineAccountQuota مدیریت می شود، می تواند ریشه پیدا کند. دسترسی به سایر سیستم های موجود در دامنه
- CVE-2021-3738 استفاده پس از دسترسی آزاد در اجرای سرور Samba AD DC RPC (dsdb) است که به طور بالقوه می تواند منجر به افزایش امتیازات هنگام دستکاری اتصالات شود.
- CVE-2016-2124 - اتصالات کلاینت ایجاد شده با استفاده از پروتکل SMB1 را می توان به انتقال پارامترهای احراز هویت در متن واضح یا از طریق NTLM (به عنوان مثال، برای تعیین اعتبار در طول حملات MITM) تغییر داد، حتی اگر کاربر یا برنامه دارای تنظیمات مشخص شده برای اجباری باشد. احراز هویت از طریق Kerberos
- CVE-2020-25722 – یک کنترل کننده دامنه Active Directory مبتنی بر Samba، بررسی های دسترسی مناسب را روی داده های ذخیره شده انجام نداده است، و به هر کاربری اجازه می دهد تا بررسی های معتبر را دور بزند و دامنه را به طور کامل در معرض خطر قرار دهد.
- CVE-2020-25718 – کنترلکننده دامنه Active Directory مبتنی بر Samba، تیکتهای Kerberos صادر شده توسط RODC (کنترلکننده دامنه فقط خواندنی) را به درستی ایزوله نکرده است، که میتوان از آن برای دریافت بلیطهای سرپرست از RODC بدون داشتن مجوز استفاده کرد.
- CVE-2020-25719 – کنترلکننده دامنه Active Directory مبتنی بر Samba همیشه فیلدهای SID و PAC را در بلیطهای Kerberos در نظر نمیگیرد (هنگام تنظیم "gensec:require_pac = true"، فقط نام بررسی میشود و PAC گرفته نمیشود. به حساب)، که به کاربر، که حق ایجاد حساب در سیستم محلی را دارد، امکان جعل هویت کاربر دیگری را در دامنه، از جمله یک کاربر ممتاز، میدهد.
- CVE-2020-25721 – برای کاربرانی که با استفاده از Kerberos احراز هویت میشوند، همیشه یک شناسه اکتیو دایرکتوری منحصر به فرد (objectSid) صادر نمیشود که میتواند به تقاطع بین یک کاربر و کاربر دیگر منجر شود.
- CVE-2021-23192 - در طول یک حمله MITM، امکان جعل قطعات در درخواست های بزرگ DCE/RPC وجود داشت که به چندین قسمت تقسیم می شدند.
منبع: opennet.ru