Patchên Samba 4.15.2, 4.14.10, û 4.13.14 hatine weşandin, ku heşt qelsiyan çareser dikin, ku piraniya wan dikarin bibin sedema tamkirina domainek Active Directory. Bi taybetî, yek ji pirsgirêkan ji sala 2016-an vir ve û pênc ji sala 2020-an vir ve hatine patch kirin. Lêbelê, patchek rê li ber xebitandina winbindd girt dema ku mîhenga "allow trusted domains = no" hate danîn (pêşdebir armanc dikin ku tavilê nûvekirinek din bi vê sererastkirinê re biweşînin). Weşandina nûvekirinên pakêtan di belavkirinan de dikare li ser rûpelên jêrîn were şopandin: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Qelsiyên rast kirin:
- CVE-2020-25717 - Ji ber xeletiyek di mentiqa nexşandina bikarhênerên domainê bi bikarhênerên pergala herêmî de, bikarhênerek domaina Active Directory ku xwedî şiyana afirandina hesabên nû li ser pergala xwe ye, ku bi rêya ms-DS-MachineAccountQuota tê birêvebirin, dikare gihîştina root ji bo pergalên din ên di nav domainê de bi dest bixe. domain.
- CVE-2021-3738 - Di pêkanîna servera Samba AD DC RPC (dsdb) de gihîştina deverek bîranînê ya jixwe azadkirî (Piştî belaş bikar bînin), ku dema ku sazkirina pêwendiyê manîpule dike potansiyel dikare bibe sedema mezinbûna îmtiyazê.
- CVE-2016-2124 - Têkiliyên xerîdar ên ku bi karanîna protokola SMB1 ve hatine saz kirin dikarin werin guheztin da ku pîvanên erêkirinê bi nivîsa zelal an bi NTLM-ê re derbas bikin (mînak, ji bo destnîşankirina pêbaweriyan dema ku êrişên MITM-ê pêk tînin), hetta ku bikarhêner an serîlêdan bi riya Kerberos ve pejirandinek mecbûrî ye. .
- CVE-2020-25722 - Kontrolkerê domaina Active Directory-ya Samba-ya bingehîn kontrolên gihîştina daneya hilanîn rast nedikir, dihişt ku her bikarhêner kontrolên destûrnameyê derbas bike û bi tevahî domainê tawîz bike.
- CVE-2020-25718 - Bilêtên Kerberos ên ku ji hêla RODC-yan (kontrolkerên domain-tenê-xwendin) ve têne derxistin, di kontrolkerek domainê ya Samba-based Active Directory de rast nehatin veqetandin, ku dikare were bikar anîn da ku bilêtên rêveberê ji RODC-ê bêyî ku destûr hebe.
- CVE-2020-25719 - Kontrolkerê domainê ya Samba-based Active Directory her gav qadên SID û PAC ên di bilêtên Kerberos de di girêdanê de negirt (dema ku "gensec:require_pac = rast" danî, tenê nav hate kontrol kirin, û PAC hate kontrol kirin nayê hesibandin), ku destûr da bikarhêner , ku mafê wî ye ku li ser pergala herêmî hesaban biafirîne, bikarhênerek din di nav domainê de, di nav de yên îmtiyaz, bişopîne.
- CVE-2020-25721 - Bikarhênerên ku bi karanîna Kerberos ve hatine pejirandin her gav ji bo Pelrêça Active (objectSid) nasnameyên yekta nehatine dayîn, ku dikare bibe sedema hevgirtina bikarhênerek bi yekî din.
- CVE-2021-23192 - Di dema êrîşek MITM de, di daxwazên mezin ên DCE / RPC de ku li çend beşan hatine dabeş kirin, gengaz bû ku perçeyan bixapînin.
Source: opennet.ru
