Samba-patcharna 4.15.2, 4.14.10 och 4.13.14 har publicerats och åtgärdar åtta sårbarheter, varav de flesta kan leda till fullständig kompromettering av en Active Directory-domän. Det är värt att notera att ett av problemen patchades sedan 2016 och fem sedan 2020. En patch förhindrade dock att winbindd kördes när inställningen "tillåt betrodda domäner = nej" var inställd (utvecklarna avser att omedelbart publicera en ny uppdatering med fixen). Utgivningen av paketuppdateringar i distributioner kan spåras på följande sidor: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Åtgärdade sårbarheter:
- CVE-2020-25717 – På grund av ett fel i logiken för att mappa domänanvändare till lokala systemanvändare kunde en Active Directory-domänanvändare med möjlighet att skapa nya konton på sitt system, hanterade via ms-DS-MachineAccountQuota, få root-åtkomst till andra system inom domänen. domän.
- CVE-2021-3738 – Sårbarheten "use after free" i implementeringen av Samba AD DC RPC-servern (dsdb) kan potentiellt leda till privilegieeskalering vid manipulering av anslutningsinställningar.
- CVE-2016-2124 – Klientanslutningar som upprättats med SMB1-protokollet kunde omdirigeras till klartext- eller NTLM-autentiseringsparametrar (t.ex. för att fastställa autentiseringsuppgifter för MITM-attacker), även om användaren eller programmet är konfigurerat för att kräva Kerberos-autentisering.
- CVE-2020-25722 – En Samba-baserad Active Directory-domänkontrollant utförde inte korrekta åtkomstkontroller på lagrad data, vilket gjorde det möjligt för användare att kringgå behörighetskontroller och fullständigt kompromettera domänen.
- CVE-2020-25718 – En Samba-baserad Active Directory-domänkontrollant isolerade inte korrekt Kerberos-ärenden som utfärdats av en skrivskyddad domänkontrollant (RODC), vilken kunde användas för att hämta administratörsärenden från RODC:n utan behörighet att göra det.
- CVE-2020-25719 – En Samba-baserad Active Directory-domänkontrollant beaktade inte alltid SID- och PAC-fälten i Kerberos-biljetter i ett paket (när "gensec:require_pac = true" ställdes in kontrollerades endast namnet, och PAC togs inte med i beräkningen), vilket gjorde det möjligt för en användare med rätt att skapa konton på det lokala systemet att imitera en annan användare i domänen, inklusive en privilegierad användare.
- CVE-2020-25721 – Kerberos-autentiserade användare fick inte alltid unika Active Directory-identifierare (objectSid), vilket kunde leda till att en användare överlappade en annan.
- CVE-2021-23192 – Vid utförande av en MITM-attack var det möjligt att ersätta fragment i stora DCE/RPC-förfrågningar som är uppdelade i flera delar.
Källa: opennet.ru
