Objavljene so bile popravne izdaje paketa Samba 4.15.2, 4.14.10 in 4.13.14 z odpravo 8 ranljivosti, od katerih večina lahko povzroči popolno ogrožanje domene Active Directory. Omeniti velja, da je bila ena od težav odpravljena od leta 2016, pet od leta 2020, vendar je en popravek onemogočil zagon winbindd z nastavitvijo »omogoči zaupanja vredne domene = ne« (razvijalci nameravajo hitro objaviti novo posodobitev z popraviti). Izdajo posodobitev paketov v distribucijah lahko spremljate na straneh: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Odpravljene ranljivosti:
- CVE-2020-25717 - zaradi napake v logiki preslikave uporabnikov domene v uporabnike lokalnega sistema lahko uporabnik domene Active Directory, ki ima možnost ustvarjanja novih računov v svojem sistemu, upravljanih prek ms-DS-MachineAccountQuota, pridobi root dostop do drugih sistemov, vključenih v domeno.
- CVE-2021-3738 je uporaba po brezplačnem dostopu v implementaciji strežnika Samba AD DC RPC (dsdb), kar bi lahko vodilo do stopnjevanja privilegijev pri manipuliranju s povezavami.
- CVE-2016-2124 – Odjemalske povezave, vzpostavljene s protokolom SMB1, bi lahko preklopili na posredovanje parametrov za preverjanje pristnosti v čistem besedilu ali prek NTLM (na primer za določitev poverilnic med napadi MITM), tudi če ima uporabnik ali aplikacija nastavitve, določene za obvezne avtentikacija prek Kerberosa.
- CVE-2020-25722 – Krmilnik domene Active Directory, ki temelji na Sambi, ni izvedel ustreznih preverjanj dostopa do shranjenih podatkov, kar je kateremu koli uporabniku omogočilo, da obide preverjanja pooblastil in popolnoma ogrozi domeno.
- CVE-2020-25718 – Krmilnik domene Active Directory, ki temelji na Sambi, ni pravilno osamil vstopnic Kerberos, ki jih je izdal RODC (krmilnik domene samo za branje), ki jih je bilo mogoče uporabiti za pridobitev skrbniških vstopnic iz RODC, ne da bi za to imeli dovoljenje.
- CVE-2020-25719 – Krmilnik domene Active Directory, ki temelji na Sambi, ni vedno upošteval polj SID in PAC v vstopnicah Kerberos (pri nastavitvi »gensec:require_pac = true« je bilo preverjeno samo ime, PAC pa ni bil prevzet v račun), kar je uporabniku, ki ima pravico do ustvarjanja računov v lokalnem sistemu, omogočilo lažno predstavljanje drugega uporabnika v domeni, vključno s privilegiranim.
- CVE-2020-25721 – Za uporabnike, ki so bili overjeni s Kerberosom, edinstven identifikator Active Directory (objectSid) ni bil vedno izdan, kar bi lahko povzročilo presečišča med enim in drugim uporabnikom.
- CVE-2021-23192 – Med napadom MITM je bilo mogoče ponarediti fragmente v velikih zahtevah DCE/RPC, razdeljenih na več delov.
Vir: opennet.ru