Buvo paskelbti korekciniai Samba paketo 4.15.2, 4.14.10 ir 4.13.14 leidimai, pašalinant 8 pažeidžiamumus, kurių dauguma gali sukelti visišką Active Directory domeno pažeidimą. Pastebėtina, kad viena iš problemų buvo ištaisyta nuo 2016 m., o penkios nuo 2020 m., tačiau dėl vieno pataisymo nepavyko paleisti winbindd su nustatymu „leisti patikimus domenus = ne“ (kūrėjai ketina greitai paskelbti kitą naujinimą su pataisyti). Paketų atnaujinimų išleidimą platinimuose galima stebėti puslapiuose: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Ištaisyti pažeidžiamumai:
- CVE-2020-25717 – dėl domeno vartotojų susiejimo su vietinės sistemos naudotojais logikos trūkumo „Active Directory“ domeno vartotojas, turintis galimybę sukurti naujas paskyras savo sistemoje, valdomas per ms-DS-MachineAccountQuota, gali įgyti šaknį. prieigą prie kitų į domeną įtrauktų sistemų.
- CVE-2021-3738 yra naudojimas po laisvos prieigos Samba AD DC RPC serverio diegime (dsdb), dėl kurio gali padidėti privilegijos manipuliuojant ryšiais.
- CVE-2016-2124 – Kliento ryšiai, užmegzti naudojant SMB1 protokolą, gali būti perjungti į autentifikavimo parametrų perdavimą aiškiu tekstu arba per NTLM (pavyzdžiui, norint nustatyti kredencialus per MITM atakas), net jei vartotojas ar programa turi privalomo autentifikavimo nustatymus. per Kerberos.
- CVE-2020-25722 – „Samba“ pagrindu veikiantis „Active Directory“ domeno valdiklis neatliko tinkamų saugomų duomenų prieigos patikrų, todėl bet kuris vartotojas galėjo apeiti valdžios patikrinimus ir visiškai pažeisti domeną.
- CVE-2020-25718 – „Samba“ pagrįstas „Active Directory“ domeno valdiklis netinkamai išskyrė „Kerberos“ bilietus, išduotus RODC (tik skaitomas domeno valdiklis), kuriuos galima naudoti administratoriaus bilietams gauti iš RODC neturint leidimo.
- CVE-2020-25719 – Samba pagrįstas Active Directory domeno valdiklis ne visada atsižvelgė į SID ir PAC laukus Kerberos bilietuose (nustačius „gensec:require_pac = true“, buvo patikrintas tik pavadinimas, o PAC nebuvo paimtas į sąskaitą), kuris leido vartotojui , turinčiam teisę susikurti paskyras vietinėje sistemoje, apsimesti kitu domeno vartotoju, įskaitant privilegijuotąjį.
- CVE-2020-25721 – naudotojams, autentifikuotiems naudojant „Kerberos“, unikalus „Active Directory“ identifikatorius (objectSid) ne visada buvo išduotas, todėl vienas vartotojas gali susikirti su kitu.
- CVE-2021-23192 – MITM atakos metu buvo galima suklastoti fragmentus didelėse DCE/RPC užklausose, padalintose į kelias dalis.
Šaltinis: opennet.ru