Korrigearjende releases fan it pakket Samba 4.15.2, 4.14.10 en 4.13.14 binne publisearre mei it eliminearjen fan 8 kwetsberens, wêrfan de measte kinne liede ta in folslein kompromis fan in Active Directory-domein. It is opmerklik dat ien fan 'e problemen sûnt 2016 is reparearre, en fiif sûnt 2020, lykwols, ien fix resultearre yn' e ûnfermogen om winbindd te begjinnen mei de ynstelling "tastean fertroude domeinen = nee" (de ûntwikkelders binne fan doel om fuortendaliks in oare update te publisearjen mei in fix). De frijlitting fan pakketfernijings yn distribúsjes kin wurde folge op 'e siden: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Fêste kwetsberens:
- CVE-2020-25717 - Troch in brek yn 'e logika fan it yn kaart bringen fan domeinbrûkers nei lokale systeembrûkers, koe in Active Directory-domeinbrûker dy't nije akkounts oanmeitsje koe op har systeem beheard fia ms-DS-MachineAccountQuota koe root-tagong krije foar oaren domein systemen.
- CVE-2021-3738 - Tagong ta in al befrijde gebiet fan ûnthâld (Gebrûk nei fergees) yn 'e ymplemintaasje fan' e Samba AD DC RPC-tsjinner (dsdb), dy't potinsjeel kin liede ta privileezje-eskalaasje by it manipulearjen fan ferbiningsoprjochting.
- CVE-2016-2124 - Kliïntferbiningen fêststeld mei it SMB1-protokol kinne oerskeakele wurde om autentikaasjeparameters troch te jaan yn platte tekst of fia NTLM (bygelyks om bewiisbrieven te bepalen by it útfieren fan MITM-oanfallen), sels as de brûker of applikaasje in ferplichte autentikaasje hat fia Kerberos .
- CVE-2020-25722 - Samba-basearre Active Directory-domeinkontrôler die net de goede kontrôles foar opsleine gegevenstagong út, wêrtroch elke brûker autorisaasjekontrôles kin omgean en it domein folslein kompromittearje.
- CVE-2020-25718 - Kerberos-tickets útjûn troch RODC's (Allinnich-lês-domeincontrollers) waarden net korrekt isolearre yn in Samba-basearre Active Directory-domeincontroller, dy't koe wurde brûkt om administratorkaarten fan 'e RODC te krijen sûnder tastimming te hawwen om dat te dwaan.
- CVE-2020-25719 - Samba-basearre Active Directory-domeincontroller hat net altyd rekken hâlden mei de SID- en PAC-fjilden yn Kerberos-kaarten yn 'e bining (by it ynstellen fan "gensec:require_pac = true", waard allinich de namme kontrolearre, en PAC wie net yn rekken brocht), wêrtroch't de brûker , dy't it rjocht hat om akkounts op it lokale systeem te meitsjen, in oare brûker yn it domein foardwaan, ynklusyf befoarrjochten.
- CVE-2020-25721 - Brûkers authentisearre mei Kerberos krigen net altyd unike identifiers foar Active Directory (objectSid), wat koe liede ta oerlaping fan de iene brûker mei de oare.
- CVE-2021-23192 - Tidens in MITM-oanfal wie it mooglik fragminten te spoofjen yn grutte DCE / RPC-oanfragen dy't waarden opdield yn ferskate dielen.
Boarne: opennet.ru