Keluaran pembetulan pakej Samba 4.15.2, 4.14.10 dan 4.13.14 telah diterbitkan dengan penghapusan 8 kelemahan, yang kebanyakannya boleh membawa kepada kompromi sepenuhnya domain Active Directory. Perlu diperhatikan bahawa salah satu masalah telah diperbaiki sejak 2016, dan lima sejak 2020, bagaimanapun, satu pembaikan menjadikannya mustahil untuk melancarkan winbindd dengan tetapan "benarkan domain yang dipercayai = tidak" (pembangun berhasrat untuk menerbitkan kemas kini lain dengan cepat dengan menetapkan). Keluaran kemas kini pakej dalam pengedaran boleh dijejaki pada halaman: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Kerentanan tetap:
- CVE-2020-25717 - disebabkan oleh kecacatan dalam logik pemetaan pengguna domain kepada pengguna sistem setempat, pengguna domain Active Directory yang mempunyai keupayaan untuk mencipta akaun baharu pada sistemnya, diurus melalui ms-DS-MachineAccountQuota, boleh mendapat akar akses kepada sistem lain yang termasuk dalam domain.
- CVE-2021-3738 ialah Penggunaan selepas akses percuma dalam pelaksanaan pelayan RPC (dsdb) Samba AD DC, yang berpotensi membawa kepada peningkatan keistimewaan apabila memanipulasi sambungan.
- CVE-2016-2124 - Sambungan pelanggan yang diwujudkan menggunakan protokol SMB1 boleh ditukar kepada lulus parameter pengesahan dalam teks yang jelas atau melalui NTLM (contohnya, untuk menentukan kelayakan semasa serangan MITM), walaupun pengguna atau aplikasi mempunyai tetapan yang ditetapkan pengesahan mandatori melalui Kerberos.
- CVE-2020-25722 β Pengawal domain Active Directory berasaskan Samba tidak melakukan semakan akses yang betul pada data yang disimpan, membenarkan mana-mana pengguna memintas semakan kuasa dan menjejaskan domain sepenuhnya.
- CVE-2020-25718 β Pengawal domain Active Directory berasaskan Samba tidak mengasingkan tiket Kerberos yang dikeluarkan oleh RODC (pengawal domain baca sahaja) dengan betul, yang boleh digunakan untuk mendapatkan tiket pentadbir daripada RODC tanpa kebenaran untuk berbuat demikian.
- CVE-2020-25719 β Pengawal domain Active Directory berasaskan Samba tidak selalu mengambil kira medan SID dan PAC dalam tiket Kerberos (apabila menetapkan βgensec:require_pac = trueβ, hanya nama yang telah disemak dan PAC tidak diambil ke dalam akaun), yang membenarkan pengguna , yang mempunyai hak untuk membuat akaun pada sistem setempat, menyamar sebagai pengguna lain dalam domain tersebut, termasuk pengguna istimewa.
- CVE-2020-25721 β Untuk pengguna yang disahkan menggunakan Kerberos, pengecam Direktori Aktif unik (objectSid) tidak selalu dikeluarkan, yang boleh membawa kepada persimpangan antara satu pengguna dengan pengguna lain.
- CVE-2021-23192 - Semasa serangan MITM, adalah mungkin untuk menipu serpihan dalam permintaan DCE/RPC yang besar berpecah kepada beberapa bahagian.
Sumber: opennet.ru