Samba 4.15.2, 4.14.10 жана 4.13.14 патчтары жарыяланды, алар сегиз алсыздыкты чечти, алардын көпчүлүгү Active Directory доменинин толук бузулушуна алып келиши мүмкүн. Белгилей кетчү нерсе, көйгөйлөрдүн бири 2016-жылдан бери, ал эми бешөө 2020-жылдан бери патчталган. Бирок, бир патч "ишенимдүү домендерге уруксат берүү = жок" жөндөөсү иштетилгенде winbindd программасынын иштешине тоскоол болгон (иштеп чыгуучулар оңдоо менен дагы бир жаңыртууну тез арада жарыялоону көздөшөт). Пакет жаңыртууларынын дистрибутивдерде чыгарылышын төмөнкү баракчалардан көзөмөлдөөгө болот: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Оңдолгон кемчиликтер:
- CVE-2020-25717 - Домен колдонуучуларын жергиликтүү система колдонуучуларына байланыштыруу логикасындагы кемчиликтен улам, ms-DS-MachineAccountQuota аркылуу башкарылган, өз системасында жаңы аккаунттарды түзүү мүмкүнчүлүгүнө ээ болгон Active Directory домен колдонуучусу домендин ичиндеги башка системаларга root мүмкүнчүлүгүн ала алат. домен.
- CVE-2021-3738 - Samba AD DC RPC серверин ишке ашырууда (dsdb) эркин кирүүдөн кийин колдонуу, бул туташууларды манипуляциялоодо артыкчылыктардын жогорулашына алып келиши мүмкүн.
- CVE-2016-2124 - SMB1 протоколунун жардамы менен орнотулган кардар байланыштары, колдонуучу же колдонмодо милдеттүү аутентификация көрсөтүлгөн орнотууларга ээ болсо да, аныктыгын текшерүү параметрлерин ачык текстте же NTLM аркылуу өткөрүүгө которулушу мүмкүн (мисалы, MITM чабуулдары учурунда эсептик дайындарды аныктоо үчүн) Kerberos аркылуу.
- CVE-2020-25722 – Samba негизиндеги Active Directory домен контроллери сакталган маалыматтарга кирүү текшерүүлөрүн туура жүргүзгөн жок, бул ар бир колдонуучуга ыйгарым укуктарды текшерүүдөн өтүп, доменди толугу менен бузууга мүмкүндүк берет.
- CVE-2020-25718 – Samba негизиндеги Active Directory домен контроллери RODC (Окуу үчүн гана домен контроллери) тарабынан чыгарылган Kerberos билеттерин туура изоляциялаган жок, аларды уруксатысыз RODCдан администратор билеттерин алуу үчүн колдонсо болот.
- CVE-2020-25719 – Samba негизиндеги Active Directory домен контроллери Kerberos билеттериндеги SID жана PAC талааларын дайыма эске алган эмес (“gensec:require_pac = true” коюуда, аты гана текшерилип, PAC алынган эмес. эсепке алуу), бул локалдык системада аккаунттарды түзүүгө укугу бар колдонуучуга домендеги башка колдонуучуну, анын ичинде артыкчылыктуу колдонуучуну көрсөтүүгө мүмкүндүк берди.
- CVE-2020-25721 – Kerberos аркылуу аутентификацияланган колдонуучулар үчүн уникалдуу Active Directory идентификатору (objectSid) дайыма эле чыгарыла бербейт, бул бир колдонуучу менен экинчисинин кесилишине алып келиши мүмкүн.
- CVE-2021-23192 - MITM чабуулу учурунда бир нече бөлүккө бөлүнгөн чоң DCE/RPC сурамдарындагы фрагменттерди бурмалоого мүмкүн болгон.
Source: opennet.ru
