Korrigerende utgivelser av Samba-pakken 4.15.2, 4.14.10 og 4.13.14 har blitt publisert med eliminering av 8 sårbarheter, hvorav de fleste kan føre til fullstendig kompromittering av Active Directory-domenet. Det er bemerkelsesverdig at ett av problemene har blitt løst siden 2016, og fem siden 2020, men én rettelse gjorde det umulig å starte winbindd med "tillat pålitelige domener = nei"-innstillingen (utviklerne har til hensikt å raskt publisere en ny oppdatering med en fastsette). Utgivelsen av pakkeoppdateringer i distribusjoner kan spores på sidene: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Rettet sårbarheter:
- CVE-2020-25717 - på grunn av en feil i logikken ved å kartlegge domenebrukere til lokale systembrukere, kan en Active Directory-domenebruker som har muligheten til å opprette nye kontoer på systemet sitt, administrert gjennom ms-DS-MachineAccountQuota, få rot tilgang til andre systemer inkludert i domenet.
- CVE-2021-3738 er en bruk etter fri tilgang i Samba AD DC RPC-serverimplementeringen (dsdb), som potensielt kan føre til eskalering av privilegier ved manipulering av tilkoblinger.
- CVE-2016-2124 - Klientforbindelser opprettet ved hjelp av SMB1-protokollen kan byttes til å sende autentiseringsparametere i klartekst eller via NTLM (for eksempel for å bestemme legitimasjon under MITM-angrep), selv om brukeren eller applikasjonen har innstillingene spesifisert for obligatorisk autentisering via Kerberos.
- CVE-2020-25722 – En Samba-basert Active Directory-domenekontroller utførte ikke riktige tilgangskontroller på lagrede data, noe som tillot enhver bruker å omgå autorisasjonssjekker og fullstendig kompromittere domenet.
- CVE-2020-25718 – den Samba-baserte Active Directory-domenekontrolleren isolerte ikke Kerberos-billetter utstedt av RODC (Skrivebeskyttet domenekontroller), som kunne brukes til å skaffe administratorbilletter fra RODC uten tillatelse til å gjøre det.
- CVE-2020-25719 – Samba-basert Active Directory-domenekontroller tok ikke alltid hensyn til SID- og PAC-feltene i Kerberos-billetter (ved innstilling av "gensec:require_pac = true", ble bare navnet sjekket, og PAC-en ble ikke tatt into account), som tillot brukeren , som har rett til å opprette kontoer på det lokale systemet, etterligne en annen bruker i domenet, inkludert en privilegert.
- CVE-2020-25721 – For brukere som er autentisert med Kerberos, ble det ikke alltid utstedt en unik Active Directory-identifikator (objectSid), noe som kan føre til kryss mellom en bruker og en annen.
- CVE-2021-23192 - Under et MITM-angrep var det mulig å forfalske fragmenter i store DCE/RPC-forespørsler delt i flere deler.
Kilde: opennet.ru