Samban korjauspäivitykset 4.15.2, 4.14.10 ja 4.13.14 on julkaistu. Ne korjaavat kahdeksan haavoittuvuutta, joista useimmat voisivat johtaa Active Directory -verkkotunnuksen täydelliseen vaarantumiseen. Yksi ongelmista on korjattu vuodesta 2016 lähtien ja viisi vuodesta 2020 lähtien. Yksi korjauspäivitys kuitenkin esti winbindd:n toiminnan, kun asetus "salli luotetut verkkotunnukset = ei" oli käytössä (kehittäjät aikovat julkaista pian uuden päivityksen korjauksen kanssa). Pakettipäivitysten julkaisua jakeluissa voi seurata seuraavilla sivuilla: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Korjatut haavoittuvuudet:
- CVE-2020-25717 - Verkkotunnuskäyttäjien ja paikallisten järjestelmien käyttäjien yhdistämislogiikassa oli virhe. Tämän seurauksena Active Directory -verkkotunnuskäyttäjä, jolla oli mahdollisuus luoda uusia tilejä järjestelmäänsä ms-DS-MachineAccountQuotan kautta, saattoi saada pääkäyttäjän oikeudet muihin verkkotunnuksen järjestelmiin. verkkotunnuksen.
- CVE-2021-3738 on Samba AD DC RPC -palvelintoteutuksen (dsdb) käyttö vapaan käytön jälkeen, mikä saattaa johtaa oikeuksien eskaloitumiseen yhteyksiä käsiteltäessä.
- CVE-2016-2124 - SMB1-protokollalla muodostetut asiakasyhteydet voidaan vaihtaa todennusparametrien välittämiseen tekstimuodossa tai NTLM:n kautta (esimerkiksi tunnistetietojen määrittämiseksi MITM-hyökkäysten aikana), vaikka käyttäjä tai sovellus olisi määritetty pakollisella todennuslla Kerberos.
- CVE-2020-25722 – Samba-pohjainen Active Directory -toimialueen ohjain ei suorittanut tallennettujen tietojen asianmukaisia käyttötarkistuksia, minkä ansiosta kuka tahansa käyttäjä pystyi ohittamaan auktoriteetin tarkistukset ja vaarantamaan toimialueen kokonaan.
- CVE-2020-25718 – Samba-pohjainen Active Directory -toimialueen ohjain ei eristänyt oikein RODC:n (vain luku -toimialueen ohjain) myöntämiä Kerberos-lippuja, joita voitiin käyttää järjestelmänvalvojan lippujen hankkimiseen RODC:ltä ilman lupaa.
- CVE-2020-25719 – Samba-pohjainen Active Directory -toimialueen ohjain ei aina ottanut huomioon SID- ja PAC-kenttiä Kerberos-lipuissa (kun asetettiin "gensec:require_pac = true", vain nimi tarkistettiin, eikä PAC:tä otettu. huomioon), joka mahdollisti käyttäjän, jolla on oikeus luoda tilejä paikalliseen järjestelmään, esiintyä toisena verkkotunnuksen käyttäjänä, mukaan lukien etuoikeutettu käyttäjä.
- CVE-2020-25721 – Käyttäjille, jotka on todennettu Kerberosilla, yksilöllistä Active Directory -tunnusta (objectSid) ei aina annettu, mikä voi johtaa risteyksiin käyttäjän ja toisen välillä.
- CVE-2021-23192 - MITM-hyökkäyksen aikana oli mahdollista huijata fragmentteja suurissa useisiin osiin jaetuissa DCE/RPC-pyynnöissä.
Lähde: opennet.ru
