Korrigerande utgåvor av Samba 4.15.2, 4.14.10 och 4.13.14-paketen har publicerats med eliminering av 8 sårbarheter, varav de flesta kan leda till en fullständig kompromiss av en Active Directory-domän. Det är anmärkningsvärt att ett av problemen har åtgärdats sedan 2016, och fem sedan 2020, men en korrigering resulterade i oförmågan att starta winbindd med inställningen "tillåt betrodda domäner = nej" (utvecklarna avser att omedelbart publicera en annan uppdatering med en fix). Utgivningen av paketuppdateringar i distributioner kan spåras på sidorna: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Fixade sårbarheter:
- CVE-2020-25717 - På grund av ett fel i logiken för att mappa domänanvändare till lokala systemanvändare, kunde en Active Directory-domänanvändare som kunde skapa nya konton på sitt system som hanterades via ms-DS-MachineAccountQuota få root-åtkomst till andra domänsystem.
- CVE-2021-3738 - Tillgång till ett redan frigjort minnesområde (Använd efter gratis) i implementeringen av Samba AD DC RPC-servern (dsdb), vilket potentiellt kan leda till privilegieskalering vid manipulering av anslutningsetablering.
- CVE-2016-2124 - Klientanslutningar som upprättats med SMB1-protokollet kan växlas till att skicka autentiseringsparametrar i klartext eller via NTLM (till exempel för att fastställa referenser när MITM-attacker utförs), även om användaren eller applikationen har en obligatorisk autentisering via Kerberos .
- CVE-2020-25722 - Samba-baserad Active Directory-domänkontrollant utförde inte korrekta kontroller av lagrad dataåtkomst, vilket gjorde att alla användare kunde kringgå auktoriseringskontroller och fullständigt äventyra domänen.
- CVE-2020-25718 - Kerberos-biljetter utfärdade av RODC:er (Skrivskyddade domänkontrollanter) var inte korrekt isolerade i en Samba-baserad Active Directory-domänkontrollant, som kunde användas för att erhålla administratörsbiljetter från RODC utan att ha tillstånd att göra det.
- CVE-2020-25719 - Samba-baserad Active Directory-domänkontrollant tog inte alltid hänsyn till SID- och PAC-fälten i Kerberos-biljetter i bindningen (vid inställningen "gensec:require_pac = true", kontrollerades bara namnet, och PAC var inte beaktas), vilket gjorde det möjligt för användaren , som har rätt att skapa konton på det lokala systemet, utge sig för att vara en annan användare på domänen, inklusive privilegierade.
- CVE-2020-25721 - Användare som autentiserades med Kerberos fick inte alltid unika identifierare för Active Directory (objectSid), vilket kan leda till överlappning av en användare med en annan.
- CVE-2021-23192 - Under en MITM-attack var det möjligt att förfalska fragment i stora DCE/RPC-förfrågningar som delades upp i flera delar.
Källa: opennet.ru