Опубліковано коректуючі випуски пакета Samba 4.15.2, 4.14.10 та 4.13.14 з усуненням 8 уразливостей, більшість з яких можуть призвести до повної компрометації домену Active Directory. Примітно, що одну з проблем виправляли з 2016 року, а п'ять — з 2020 року, проте одне виправлення призвело до неможливості запустити winbindd за наявності налаштування allow trusted domains = no (розробники мають намір оперативно опублікувати ще одне оновлення з виправленням). Випуск оновлень пакетів у дистрибутивах можна простежити на сторінках: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Усунені вразливості:
- CVE-2020-25717 — через недоробку логіки мапінгу користувачів домену з користувачами локальної системи, користувач домену Active Directory, що має можливість створювати нові облікові записи на своїй системі, керовані через ms-DS-MachineAccountQuota, міг отримати доступ з правами root на інші системи, що входять до домену.
- CVE-2021-3738 — звернення до звільненої області пам'яті (Use after free) у реалізації RPC-сервера Samba AD DC (dsdb), яке потенційно може призвести до підвищення привілеїв при маніпуляції з установкою з'єднань.
- CVE-2016-2124 - клієнтські з'єднання, встановлені з використанням протоколу SMB1, могли бути переведені на передачу параметрів автентифікації відкритим текстом або через NTLM (наприклад, для визначення облікових даних при здійсненні MITM-атак), навіть якщо для користувача або програми в налаштуваннях визначено обов'язкова автентифікація через Kerberos.
- CVE-2020-25722 — у контролері домену Active Directory на базі Samba не виконувались належні перевірки доступу до даних, що дозволяло будь-якому користувачеві обійти перевірки повноважень і повністю скомпрометувати домен.
- CVE-2020-25718 - в контролері домену Active Directory на базі Samba не коректно ізолювалися ticket-и Kerberos, видані RODC (Read-only domain controller), що могло використовуватися для отримання у RODC тикетів адміністратора, не маючи на це повноважень.
- CVE-2020-25719 — контролер домену Active Directory на базі Samba не завжди враховував у зв'язці поля SID та PAC у ticket-ах Kerberos (при налаштуванні «gensec:require_pac = true» перевірялося тільки ім'я, а PAC не враховувався), що дозволяло користувачеві , що має право створювати облікові записи на локальній системі, видати себе за іншого користувача в домені, у тому числі привілейованого.
- CVE-2020-25721 — для користувачів, які пройшли автентифікацію з використанням Kerberos, не завжди видавалися унікальні ідентифікатори для Active Directory (objectSid), що могло призвести до перетинів одного користувача з іншим.
- CVE-2021-23192 - при проведенні MITM-атаки була можливість заміни фрагментів у високих запитах DCE/RPC, що розбиваються на кілька елементів.
Джерело: opennet.ru