Boli publikované záplaty Samby 4.15.2, 4.14.10 a 4.13.14, ktoré riešia osem zraniteľností, z ktorých väčšina by mohla viesť k úplnému napadnutiu domény služby Active Directory. Je pozoruhodné, že jeden z problémov bol opravený od roku 2016 a päť od roku 2020. Jedna záplata však zabránila spusteniu winbindd, keď bolo povolené nastavenie „povoliť dôveryhodné domény = nie“ (vývojári majú v úmysle okamžite vydať ďalšiu aktualizáciu s touto opravou). Vydávanie aktualizácií balíkov v distribúciách je možné sledovať na nasledujúcich stránkach: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Opravené chyby zabezpečenia:
- CVE-2020-25717 – Kvôli chybe v logike mapovania používateľov domény na používateľov lokálneho systému mohol používateľ domény služby Active Directory s možnosťou vytvárať nové účty vo svojom systéme spravované prostredníctvom príkazu ms-DS-MachineAccountQuota získať root prístup k iným systémom v rámci domény. doména.
- CVE-2021-3738 je Použitie po voľnom prístupe v implementácii servera Samba AD DC RPC (dsdb), čo by mohlo potenciálne viesť k eskalácii privilégií pri manipulácii s pripojeniami.
- CVE-2016-2124 – Klientske pripojenia vytvorené pomocou protokolu SMB1 je možné prepnúť na odovzdávanie autentifikačných parametrov vo forme čistého textu alebo prostredníctvom NTLM (napríklad na určenie poverení počas útokov MITM), a to aj v prípade, že používateľ alebo aplikácia má nastavenia špecifikované pre povinné autentifikácia cez Kerberos.
- CVE-2020-25722 – Radič domény Active Directory založený na Sambe nevykonal správne kontroly prístupu k uloženým údajom, čo umožnilo každému používateľovi obísť kontroly oprávnení a úplne kompromitovať doménu.
- CVE-2020-25718 – radič domény Active Directory založený na Sambe správne neizoloval lístky Kerberos vydané radičom domény RODC (radič domény len na čítanie), ktorý možno použiť na získanie správcovských lístkov z RODC bez toho, aby na to mal povolenie.
- CVE-2020-25719 – Radič domény Active Directory založený na Sambe nezohľadnil vždy polia SID a PAC v lístkoch Kerberos (pri nastavení „gensec:require_pac = true“ sa skontroloval iba názov a PAC sa nezobral do účtu), ktorý umožnil používateľovi, ktorý má právo vytvárať účty v lokálnom systéme, vydávať sa za iného používateľa v doméne, vrátane privilegovaného.
- CVE-2020-25721 – Používateľom overeným pomocou protokolu Kerberos nebol vždy vydaný jedinečný identifikátor služby Active Directory (objectSid), čo by mohlo viesť k prieniku medzi jedným používateľom a druhým.
- CVE-2021-23192 - Počas útoku MITM bolo možné sfalšovať fragmenty vo veľkých požiadavkách DCE/RPC rozdelených na niekoľko častí.
Zdroj: opennet.ru
