Samba-paketin 4.15.2, 4.14.10 ja 4.13.14 korjaavat julkaisut on julkaistu poistaen 8 haavoittuvuutta, joista suurin osa voi johtaa Active Directory -toimialueen täydelliseen vaarantumiseen. On huomionarvoista, että yksi ongelmista on korjattu vuodesta 2016 ja viisi vuodesta 2020, mutta yksi korjaus teki mahdottomaksi käynnistää winbindd:tä "salli luotetut verkkotunnukset = ei" -asetuksella (kehittäjien aikomuksena on julkaista nopeasti uusi päivitys korjata). Pakettipäivitysten julkaisua jakeluissa voi seurata sivuilta: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Korjatut haavoittuvuudet:
- CVE-2020-25717 - koska verkkotunnuksen käyttäjien yhdistäminen paikallisten järjestelmien käyttäjiin on virheellinen, Active Directory -verkkotunnuksen käyttäjä, joka pystyy luomaan uusia tilejä järjestelmäänsä ms-DS-MachineAccountQuotan kautta, voi saada pääkäyttäjän. pääsy muihin toimialueen järjestelmiin.
- CVE-2021-3738 on Samba AD DC RPC -palvelintoteutuksen (dsdb) käyttö vapaan käytön jälkeen, mikä saattaa johtaa oikeuksien eskaloitumiseen yhteyksiä käsiteltäessä.
- CVE-2016-2124 - SMB1-protokollalla muodostetut asiakasyhteydet voidaan vaihtaa todennusparametrien välittämiseen tekstimuodossa tai NTLM:n kautta (esimerkiksi tunnistetietojen määrittämiseksi MITM-hyökkäysten aikana), vaikka käyttäjä tai sovellus olisi määritetty pakollisella todennuslla Kerberos.
- CVE-2020-25722 – Samba-pohjainen Active Directory -toimialueen ohjain ei suorittanut tallennettujen tietojen asianmukaisia käyttötarkistuksia, minkä ansiosta kuka tahansa käyttäjä pystyi ohittamaan auktoriteetin tarkistukset ja vaarantamaan toimialueen kokonaan.
- CVE-2020-25718 – Samba-pohjainen Active Directory -toimialueen ohjain ei eristänyt oikein RODC:n (vain luku -toimialueen ohjain) myöntämiä Kerberos-lippuja, joita voitiin käyttää järjestelmänvalvojan lippujen hankkimiseen RODC:ltä ilman lupaa.
- CVE-2020-25719 – Samba-pohjainen Active Directory -toimialueen ohjain ei aina ottanut huomioon SID- ja PAC-kenttiä Kerberos-lipuissa (kun asetettiin "gensec:require_pac = true", vain nimi tarkistettiin, eikä PAC:tä otettu. huomioon), joka mahdollisti käyttäjän, jolla on oikeus luoda tilejä paikalliseen järjestelmään, esiintyä toisena verkkotunnuksen käyttäjänä, mukaan lukien etuoikeutettu käyttäjä.
- CVE-2020-25721 – Käyttäjille, jotka on todennettu Kerberosilla, yksilöllistä Active Directory -tunnusta (objectSid) ei aina annettu, mikä voi johtaa risteyksiin käyttäjän ja toisen välillä.
- CVE-2021-23192 - MITM-hyökkäyksen aikana oli mahdollista huijata fragmentteja suurissa useisiin osiin jaetuissa DCE/RPC-pyynnöissä.
Lähde: opennet.ru