Samba 4.15.2, 4.14.10 және 4.13.14 пакетінің түзететін шығарылымдары 8 осалдықты жоюмен жарияланды, олардың көпшілігі Active Directory доменінің толық бұзылуына әкелуі мүмкін. Бір қызығы, мәселенің бірі 2016 жылдан бері, ал бесеуі 2020 жылдан бері шешілді, дегенмен бір түзету winbindd бағдарламасын «сенімді домендерге рұқсат ету = жоқ» параметрімен іске қосу мүмкін еместігіне әкелді (әзірлеушілер келесі жаңартуды тез арада жариялауға ниетті. түзету). Дистрибуциялардағы пакет жаңартуларының шығарылымын келесі беттерде бақылауға болады: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Бекітілген осалдықтар:
- CVE-2020-25717 - Домен пайдаланушыларын жергілікті жүйе пайдаланушыларымен салыстыру логикасындағы қатеге байланысты, ms-DS-MachineAccountQuota арқылы басқарылатын жүйесінде жаңа тіркелгілерді жасай алатын Active Directory домен пайдаланушысы басқаларға түбірлік қатынасты ала алады. домендік жүйелер.
- CVE-2021-3738 - Samba AD DC RPC серверін (dsdb) іске асыру кезінде бос қалған жад аймағына қол жеткізу (бос кейін пайдалану), бұл қосылымды орнатуды манипуляциялау кезінде артықшылықты арттыруға әкелуі мүмкін.
- CVE-2016-2124 - SMB1 хаттамасы арқылы орнатылған клиенттік қосылымдар пайдаланушыда немесе қолданбада Kerberos арқылы міндетті аутентификация болса да, ашық мәтінде немесе NTLM арқылы аутентификация параметрлерін беруге (мысалы, MITM шабуылдарын орындау кезінде тіркелгі деректерін анықтау үшін) ауысуға болады. .
- CVE-2020-25722 - Samba негізіндегі Active Directory домен контроллері сақталған деректерге қол жеткізуді тексеруді дұрыс орындамады, бұл кез келген пайдаланушыға авторизация тексерулерін айналып өтуге және доменді толығымен бұзуға мүмкіндік берді.
- CVE-2020-25718 - RODC (тек оқуға арналған домен контроллері) шығарған Kerberos билеттері Samba негізіндегі Active Directory домен контроллерінде дұрыс оқшауланбаған, ол рұқсатсыз RODC-тен әкімші билеттерін алу үшін пайдаланылуы мүмкін.
- CVE-2020-25719 - Samba негізіндегі Active Directory домен контроллері байланыстыру кезінде Kerberos билеттеріндегі SID және PAC өрістерін әрқашан ескермейтін («gensec:require_pac = true» параметрін орнату кезінде, тек атау тексерілді және PAC есепке алынбайды), бұл жергілікті жүйеде тіркелгі жасау құқығы бар пайдаланушыға домендегі басқа пайдаланушының, соның ішінде артықшылықты пайдаланушылардың атын көрсетуге мүмкіндік берді.
- CVE-2020-25721 - Kerberos арқылы аутентификацияланған пайдаланушыларға Active Directory (objectSid) үшін әрқашан бірегей идентификаторлар берілмейді, бұл бір пайдаланушының екіншісімен қабаттасуына әкелуі мүмкін.
- CVE-2021-23192 - MITM шабуылы кезінде бірнеше бөлікке бөлінген үлкен DCE/RPC сұрауларындағы фрагменттерді бұрмалау мүмкін болды.
Ақпарат көзі: opennet.ru