Samba 4.15.2, 4.14.10 ve 4.13.14 paketinin düzeltici sürümleri yayınlandı ve çoğu Active Directory etki alanının tamamen ele geçirilmesine yol açabilecek 8 güvenlik açığının ortadan kaldırılması sağlandı. Sorunlardan birinin 2016'dan bu yana ve beşinin 2020'den bu yana düzeltilmiş olması dikkat çekicidir; ancak bir düzeltme, winbindd'nin "güvenilir alanlara izin ver = hayır" ayarıyla başlatılamamasıyla sonuçlandı (geliştiriciler derhal başka bir güncelleme yayınlamayı planlıyor) bir düzeltme). Paket güncellemelerinin dağıtımlarda yayınlanması şu sayfalardan takip edilebilir: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Sabit güvenlik açıkları:
- CVE-2020-25717 - Etki alanı kullanıcılarını yerel sistem kullanıcılarıyla eşleme mantığındaki bir hata nedeniyle, sistemlerinde ms-DS-MachineAccountQuota aracılığıyla yönetilen yeni hesaplar oluşturabilen bir Active Directory etki alanı kullanıcısı, diğerlerine kök erişimi elde edebildi etki alanı sistemleri.
- CVE-2021-3738 - Samba AD DC RPC sunucusunun (dsdb) uygulanmasında zaten serbest bırakılmış bir bellek alanına erişim (Ücretsiz olduktan sonra kullanın), bu da bağlantı kurulumunda değişiklik yapılırken potansiyel olarak ayrıcalık artışına yol açabilir.
- CVE-2016-2124 - SMB1 protokolü kullanılarak kurulan istemci bağlantıları, kullanıcı veya uygulamanın zorunlu bir kimlik doğrulaması olsa bile, açık metin olarak veya NTLM yoluyla (örneğin, MITM saldırıları gerçekleştirirken kimlik bilgilerini belirlemek için) kimlik doğrulama parametrelerini iletecek şekilde değiştirilebilir. Kerberos.
- CVE-2020-25722 - Samba tabanlı Active Directory etki alanı denetleyicisi, depolanan veri erişim denetimlerini uygun şekilde gerçekleştirmiyordu; bu da herhangi bir kullanıcının yetkilendirme denetimlerini atlamasına ve etki alanının tamamen tehlikeye girmesine olanak tanıyordu.
- CVE-2020-25718 - Salt okunur etki alanı denetleyicisi (RODC) tarafından verilen Kerberos biletleri, Samba tabanlı bir Active Directory etki alanı denetleyicisinde doğru şekilde yalıtılmadı; bu, herhangi bir yetkiye sahip olmadan RODC'den yönetici biletleri almak için kullanılabilir Bu yüzden.
- CVE-2020-25719 - Samba tabanlı Active Directory etki alanı denetleyicisi, bağlamadaki Kerberos biletlerindeki SID ve PAC alanlarını her zaman hesaba katmıyordu ("gensec:require_pac = true" ayarlanırken yalnızca ad kontrol edildi ve PAC, dikkate alınmadı), yerel sistemde hesap oluşturma hakkına sahip olan kullanıcının, ayrıcalıklı olanlar da dahil olmak üzere etki alanında başka bir kullanıcının kimliğine bürünmesine olanak tanıdı.
- CVE-2020-25721 - Kerberos kullanılarak kimlik doğrulaması yapılan kullanıcılara her zaman Active Directory için benzersiz tanımlayıcılar (objectSid) verilmiyordu; bu da bir kullanıcının diğeriyle çakışmasına yol açabilir.
- CVE-2021-23192 - Bir MITM saldırısı sırasında, birkaç parçaya bölünmüş büyük DCE/RPC isteklerindeki parçaları yanıltmak mümkündü.
Kaynak: opennet.ru