Objavljena su popravna izdanja Samba paketa 4.15.2, 4.14.10 i 4.13.14 s eliminacijom 8 ranjivosti od kojih većina može dovesti do potpunog ugrožavanja Active Directory domene. Važno je napomenuti da je jedan od problema riješen od 2016., a pet od 2020., međutim, jedan je popravak onemogućio pokretanje winbindda s postavkom "dopusti pouzdane domene = ne" (programeri namjeravaju brzo objaviti još jedno ažuriranje s popraviti). Izlazak ažuriranja paketa u distribucijama možete pratiti na stranicama: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Ispravljene ranjivosti:
- CVE-2020-25717 - zbog greške u logici preslikavanja korisnika domene na korisnike lokalnog sustava, korisnik domene Active Directory koji ima mogućnost kreiranja novih računa na svom sustavu, kojima se upravlja putem ms-DS-MachineAccountQuota, mogao bi dobiti root pristup drugim sustavima uključenim u domenu.
- CVE-2021-3738 je upotreba nakon besplatnog pristupa u implementaciji Samba AD DC RPC poslužitelja (dsdb), što bi potencijalno moglo dovesti do eskalacije privilegija prilikom manipuliranja vezama.
- CVE-2016-2124 - Veze klijenata uspostavljene korištenjem SMB1 protokola mogu se prebaciti na prosljeđivanje parametara provjere autentičnosti u čistom tekstu ili putem NTLM-a (na primjer, za određivanje vjerodajnica tijekom MITM napada), čak i ako korisnik ili aplikacija imaju postavke navedene za obavezne provjera autentičnosti putem Kerberosa.
- CVE-2020-25722 – Kontroler domene Active Directory temeljen na Sambi nije izvršio ispravne provjere pristupa pohranjenim podacima, dopuštajući svakom korisniku da zaobiđe provjere ovlaštenja i potpuno ugrozi domenu.
- CVE-2020-25718 – kontroler domene Active Directory temeljen na Sambi nije ispravno izolirao Kerberos ulaznice koje je izdao RODC (kontroler domene samo za čitanje), a koje su se mogle koristiti za dobivanje administratorskih ulaznica od RODC-a bez dopuštenja za to.
- CVE-2020-25719 – Kontroler domene Active Directory temeljen na Sambi nije uvijek uzimao u obzir SID i PAC polja u Kerberos ulaznicama (prilikom postavljanja "gensec:require_pac = true", provjeravalo se samo ime, a PAC nije uzet na račun), što je omogućilo korisniku, koji ima pravo kreirati račune na lokalnom sustavu, da se predstavlja kao drugi korisnik u domeni, uključujući i povlaštenog.
- CVE-2020-25721 – Za korisnike autentificirane pomoću Kerberosa, jedinstveni identifikator Active Directory (objectSid) nije uvijek izdan, što bi moglo dovesti do križanja između jednog i drugog korisnika.
- CVE-2021-23192 - Tijekom MITM napada bilo je moguće lažirati fragmente u velikim DCE/RPC zahtjevima podijeljenim u nekoliko dijelova.
Izvor: opennet.ru