Samba patch 4.15.2á 4.14.10 ááŸáá·áº 4.13.14 ááá¯á·ááᯠáá¯ááºááŒááºáá²á·ááŒá®ážááŒá áºááŒá®áž á¡á¬ážáááºážáá»áẠááŸá áºáá¯ááᯠááŒá±ááŸááºážáá¬ážááŒá®áž á¡áá»á¬ážá á¯ááŸá¬ Active Directory domain áá áºáá¯á áá¯á¶ážááá»ááºá á®ážááŸá¯ááᯠáŠážáááºá á±ááá¯ááºáááºá ááŸááºáá¬ážá áá¬áá±á¬ááºážáááºááŸá¬ ááŒá¿áá¬áá áºáá¯ááᯠáááá áá¯ááŸá áºááŸá á ááŒááºáááºáá²á·ááŒá®áž áááá áá¯ááŸá áºááŸá á áá«ážáá¯ááᯠááŒááºáááºáá²á·áááºá ááá¯á·áá±á¬áº "allow trusted domains = no" setting ááá¯ááœáá·áºáá¬ážáá±á¬á¡áá« patch áá áºáá¯ááẠwinbindd ááᯠááááºáááºááá¯ááºá¡á±á¬áẠáá¬ážáá®ážáá¬ážááẠ(developer áá»á¬ážááẠááŒááºáááºááŸá¯ááŒáá·áº áá±á¬ááºááẠupdate áá áºáá¯ááᯠáá»ááºáá»ááºážáá¯ááºáá±ááẠáááºááœááºáá¬ážáááº)á distributions áá»á¬ážááœáẠpackage updates áá»á¬ážáá¯ááºááŒááºááŒááºážááᯠá¡á±á¬ááºáá«á á¬áá»ááºááŸá¬áá»á¬ážááœáẠááŒá±áá¬áá¶ááá¯ááºáááº- Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSDá
ááŒááºáááºáá¬ážáá±á¬ á¡á¬ážáááºážáá»ááºáá»á¬áž-
- CVE-2020-25717 - ááá¯ááááºážá¡áá¯á¶ážááŒá¯áá°áá»á¬ážááᯠáá±áááœááºážá áá áºá¡áá¯á¶ážááŒá¯áá°áá»á¬ážáá¶ áá»áááºáááºáá¬ááœáẠáá¯áá¹áááá±áááœáẠáá»áá¯á·ááœááºážáá»ááºáá áºáá¯ááŒá±á¬áá·áºá ms-DS-MachineAccountQuota ááŸáá áºááá·áº á á®áá¶ááá·áºááœá²áá¬ážáá±á¬ áááºážááá¯á·áá áá áºááœáẠá¡áá±á¬áá·áºá¡áá áºáá»á¬áž áááºáá®ážááá¯ááºááá·áº Active Directory ááá¯ááááºážá¡áá¯á¶ážááŒá¯áá°ááẠááá¯ááááºážá¡ááœááºážááŸá á¡ááŒá¬ážá áá áºáá»á¬ážááá¯á· root access áááŸáááá¯ááºáááºá ááá¯ááááºáž.
- CVE-2021-3738 ááẠSamba AD DC RPC áá¬áá¬á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯ (dsdb) ááœáẠá¡ááá²á·áááºáá±á¬ááºááŒáá·áºááŸá¯ááŒá®ážáá±á¬áẠá¡áá¯á¶ážááŒá¯ááŸá¯áá áºáá¯ááŒá áºááŒá®áž áá»áááºáááºááŸá¯áá»á¬ážááᯠááŒáá¯ážááá¯ááºááá·áºá¡áá«ááœáẠá¡ááœáá·áºáá°ážáá»á¬ážááá¯ážááŒáá·áºáá¬ááá¯ááºáááºá
- CVE-2016-2124 - SMB1 áááá¯ááá¯áá±á¬ááᯠá¡áá¯á¶ážááŒá¯á áááºáá±á¬ááºáá¬ážáá±á¬ áá±á¬ááºáááºáá»áááºáááºááŸá¯áá»á¬ážááᯠááŸááºážááŸááºážáááºážáááºáž á á¬áá¬ážááŒáá·áº ááá¯á·ááá¯áẠNTLM ááŸáá áºááá·áº (á¥ááá¬á MITM ááá¯ááºááá¯ááºááŸá¯á¡ááœááºáž á¡áá±á¬ááºá¡áá¬ážáá»á¬áž áá¯á¶ážááŒááºáááº)á á¡áá¯á¶ážááŒá¯áá° ááá¯á·ááá¯áẠá¡ááá®áá±ážááŸááºážááœáẠáááŒá áºááá± áááºááŸááºáá¬ážááá·áº áááºáááºáá»á¬áž áá«ááŸááá±áá±á¬áºáááºážá Kerberos ááŸáááá·áº á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážá
- CVE-2020-25722 - Samba-based Active Directory domain controller ááẠááááºážáááºážáá¬ážáá±á¬ áá±áá¬á¡áá±á«áº ááá·áºáá»á±á¬áºáá±á¬ áááºáá±á¬ááºá á áºáá±ážááŸá¯áá»á¬áž ááá¯ááºáá±á¬ááºááá¯ááºáá²á·áá² á¡áá¯á¶ážááŒá¯áá°ááá¯ááºážááẠá¡ááœáá·áºá¡á¬áá¬á á áºáá±ážááŸá¯áá»á¬ážááᯠáá»á±á¬áºááŒááºáᬠdomain ááᯠáá¯á¶ážáá¡áá±ážá¡áá°áá¯ááºááœáá·áºáá±ážáá¬ážáá«áááºá
- CVE-2020-25718 - Samba-based Active Directory domain controller ááẠRODC (Read-only domain controller) ááŸáá¯ááºáá±ážáá±á¬ Kerberos áááºááŸááºáá»á¬ážááᯠááŸááºáááºá áœá¬ááœá²áá¯ááºááŒááºážáááŒá¯áá² RODC (Read-only domain controller) ááᯠRODC áá¶á០á á®áá¶ááá·áºááœá²ááœáá·áºáááºááŸááºáá»á¬ážááá°áááºá¡ááœáẠá¡áá¯á¶ážááŒá¯ááá¯ááºáá«áááºá
- CVE-2020-25719 â Samba-based Active Directory domain controller ááẠKerberos áááºááŸááºáá»á¬ážááŸá SID ááŸáá·áº PAC á¡ááœááºáá»á¬ážááᯠá¡ááŒá²áááºážááá·áºááœááºážá ááºážá á¬ážááŒááºážáááŸááá« (âgensec:require_pac = trueâ ááá¯áááºááŸááºáá±á¬á¡áá«á á¡áááºááá¯áᬠá¡ááŸááºááŒá áºááŒá®áž PAC ááᯠááá°áá²á·áá«á á¡áá±á¬áá·áºáá²ááá¯á·)á á ááºááœááºážá áá áºááœáẠá¡áá±á¬áá·áºáá»á¬ážáááºáá®ážááá¯ááºááœáá·áºááŸááá±á¬ áá¯á¶ážá áœá²áá°á¡á¬áž á¡ááœáá·áºáá°ážáá¶áá áºáŠážá¡áá«á¡ááẠááá¯ááááºážá¡ááœááºážááŸá á¡ááŒá¬ážá¡áá¯á¶ážááŒá¯áá°á¡áá±á¬ááºáá±á¬ááºááŒááºážá¡á¬áž ááœáá·áºááŒá¯áá¬ážáááºá
- CVE-2020-25721 - Kerberos ááᯠá¡áá¯á¶ážááŒá¯á á á áºááŸááºááŒá±á¬ááºáž á¡áá±á¬ááºá¡áá¬ážááŒáá¬ážáá±á¬ á¡áá¯á¶ážááŒá¯áá°áá»á¬ážá¡ááœááºá áá°ážááŒá¬ážáá±á¬ Active Directory identifier (objectSid) ááᯠá¡ááŒá²áááºážáá¯ááºáá±ážááŒááºážáááŸááá«á áááºážááẠáá¯á¶ážá áœá²áá°áá áºáŠážááŸáá·áº á¡ááŒá¬ážáá áºáŠážááŒá¬áž áááºážáá¯á¶áá»á¬ážááᯠááŒá áºáá±á«áºá á±ááá¯ááºáááºá
- CVE-2021-23192 - MITM ááá¯ááºááá¯ááºááŸá¯áá áºáá¯á¡ááœááºážá ááŒá®ážáá¬ážáá±á¬ DCE/RPC áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááœáẠá¡ááá¯ááºážá¡á áá»á¬ážá áœá¬ááᯠá¡ááá¯ááºážááá¯ááºážááœá²á á¡áá¯á¡áá±á¬ááºááŒá¯áá¯ááºááá¯ááºáááºá
source: opennet.ru
