Objavljeni so bili popravki za Sambo 4.15.2, 4.14.10 in 4.13.14, ki odpravljajo osem ranljivosti, od katerih bi večina lahko privedla do popolne ogroženosti domene Active Directory. Omeniti velja, da je bila ena od težav odpravljena od leta 2016, pet pa od leta 2020. Vendar pa je en popravek preprečil zagon programa winbindd, ko je bila omogočena nastavitev »dovoli zaupanja vredne domene = ne« (razvijalci nameravajo nemudoma objaviti novo posodobitev s popravkom). Izdajo posodobitev paketov v distribucijah lahko spremljate na naslednjih straneh: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Odpravljene ranljivosti:
- CVE-2020-25717 - Zaradi napake v logiki za preslikavo uporabnikov domene v uporabnike lokalnega sistema bi lahko uporabnik domene Active Directory z možnostjo ustvarjanja novih računov v svojem sistemu, ki se upravljajo prek ms-DS-MachineAccountQuota, pridobil korenski dostop do drugih sistemov znotraj domene. domena.
- CVE-2021-3738 - Ranljivost »uporaba po prenehanju uporabe« v implementaciji strežnika RPC Samba AD DC (dsdb) bi lahko privedla do stopnjevanja privilegijev pri manipuliranju z nastavitvijo povezave.
- CVE-2016-2124 – Povezave odjemalcev, vzpostavljene s protokolom SMB1, bi lahko bile preusmerjene na preverjanje pristnosti z odprtim besedilom ali NTLM (npr. za določitev poverilnic za napade tipa »vmesec«), tudi če je uporabnik ali aplikacija konfigurirana tako, da zahteva preverjanje pristnosti Kerberos.
- CVE-2020-25722 – Krmilnik domene Active Directory, ki temelji na Sambi, ni izvajal ustreznih preverjanj dostopa do shranjenih podatkov, kar je omogočilo kateremu koli uporabniku, da zaobide preverjanja dovoljenj in popolnoma ogrozi domeno.
- CVE-2020-25718 – Krmilnik domene Active Directory, ki temelji na Sambi, ni pravilno izoliral vstopnic Kerberos, ki jih je izdal krmilnik domene samo za branje (RODC), ki bi jih bilo mogoče uporabiti za pridobivanje skrbniških vstopnic od RODC brez dovoljenja.
- CVE-2020-25719 – Krmilnik domene Active Directory, ki temelji na Sambi, ni vedno upošteval polj SID in PAC v vstopnicah Kerberos (pri nastavitvi »gensec:require_pac = true« je bilo preverjeno samo ime, PAC pa ni bil upoštevan), kar je uporabniku s pravico do ustvarjanja računov v lokalnem sistemu omogočilo, da se je izdajal za drugega uporabnika v domeni, vključno s privilegiranim.
- CVE-2020-25721 – Uporabniki, overjeni s Kerberosom, niso vedno prejeli enoličnih identifikatorjev Active Directory (objectSid), kar je lahko povzročilo prekrivanja med uporabniki.
- CVE-2021-23192 - Napad »človek v sredini« bi lahko ponarejal fragmente v velikih zahtevah DCE/RPC, ki so razdeljene na več delov.
Vir: opennet.ru
