forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в Samba 4, которая может привести к удалённому вы..."
Отправлено opennews, 19-Дек-16 18:59

Представлены (http://www.mail-archive.com/samba-announce@lists.samba....) корректирующие обновления  Samba 4.5.3, 4.4.8 и 4.3.13, в которых устранена порция уязвимостей. Одна из проблем (CVE-2016-2123 (https://www.samba.org/samba/security/CVE-2016-2123.html)) позволяет осуществить атаку, которая может привести к удалённому выполнению кода на сервере. Уязвимость проявляется только в Samba 4. Для проведения атаки требуется аутентифицированный доступ к серверу.

Уязвимость вызвана ошибкой в функции ndr_pull_dnsp_name, которую можно использовать для инициирования переполнения буфера при обработке специально оформленных атрибутов dnsRecord в БД Samba Active Directory. Атаку может совершить любой пользователь, имеющий возможность записи атрибута dnsRecord через LDAP. По умолчанию  полномочия записи dnsRecord для новых DNS-объектов имеются у всех аутентифицированных пользователей LDAP.
Проблема пока не исправлена в дистрибутивах Linux (Debian (https://security-tracker.debian.org/tracker/CVE-2016-2123), Ubuntu (https://www.ubuntu.com/usn/), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-2123)). RHEL и CentOS 5, 6, 7 проблеме не подвержены, так поставляют пакеты Samba без AD DNS Server. В качестве обходного пути защиты для зоны DNS можно изменить уровень ntSecurityDescriptor, но это приведёт урезанию нужной функциональности и изменению поведения контроллера домена Active Directory.

Из других устранённых уязвимостей отмечаются:

-  CVE-2016-2125 (https://www.samba.org/samba/security/CVE-2016-2125.html) - делегирование излишних полномочий серверу Kerberos. Samba-клиент всегда запрашивает делегируемый тикет при аутентификации через Kerberos, что подразумевает наличие у  сервера  Kerberos тикета "Ticket Granting Ticket" (TGT), позволяющего получить любой доступ от имени аутентифицированного пользователя или сервиса;

-  CVE-2016-2126 (https://www.samba.org/samba/security/CVE-2016-2126.html) - уязвимость в коде проверки Kerberos PAC, которая может привести к повышению привилегий. Удалённый аутентифицированный атакующий может инициировать крах процесса winbindd отправив легитимный тикет  Kerberos  с некорректной контрольной суммой arcfour-hmac-md5 PAC. Локальный сервис с доступом к привилегированному каналу связи с winbindd может инициировать оседание в кэше  winbindd некорректных прав доступа.
URL: http://www.mail-archive.com/samba-announce@lists.samba....
Новость: https://www.opennet.ru/opennews/art.shtml?num=45718

Исходное сообщение
"Уязвимость в Samba 4, которая может привести к удалённому вы..." Отправлено opennews, 19-Дек-16 18:59
Представлены (http://www.mail-archive.com/samba-announce@lists.samba....) корректирующие обновления Samba 4.5.3, 4.4.8 и 4.3.13, в которых устранена порция уязвимостей. Одна из проблем (CVE-2016-2123 (https://www.samba.org/samba/security/CVE-2016-2123.html)) позволяет осуществить атаку, которая может привести к удалённому выполнению кода на сервере. Уязвимость проявляется только в Samba 4. Для проведения атаки требуется аутентифицированный доступ к серверу. Уязвимость вызвана ошибкой в функции ndr_pull_dnsp_name, которую можно использовать для инициирования переполнения буфера при обработке специально оформленных атрибутов dnsRecord в БД Samba Active Directory. Атаку может совершить любой пользователь, имеющий возможность записи атрибута dnsRecord через LDAP. По умолчанию полномочия записи dnsRecord для новых DNS-объектов имеются у всех аутентифицированных пользователей LDAP. Проблема пока не исправлена в дистрибутивах Linux (Debian (https://security-tracker.debian.org/tracker/CVE-2016-2123), Ubuntu (https://www.ubuntu.com/usn/), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-2123)). RHEL и CentOS 5, 6, 7 проблеме не подвержены, так поставляют пакеты Samba без AD DNS Server. В качестве обходного пути защиты для зоны DNS можно изменить уровень ntSecurityDescriptor, но это приведёт урезанию нужной функциональности и изменению поведения контроллера домена Active Directory. Из других устранённых уязвимостей отмечаются: - CVE-2016-2125 (https://www.samba.org/samba/security/CVE-2016-2125.html) - делегирование излишних полномочий серверу Kerberos. Samba-клиент всегда запрашивает делегируемый тикет при аутентификации через Kerberos, что подразумевает наличие у сервера Kerberos тикета "Ticket Granting Ticket" (TGT), позволяющего получить любой доступ от имени аутентифицированного пользователя или сервиса; - CVE-2016-2126 (https://www.samba.org/samba/security/CVE-2016-2126.html) - уязвимость в коде проверки Kerberos PAC, которая может привести к повышению привилегий. Удалённый аутентифицированный атакующий может инициировать крах процесса winbindd отправив легитимный тикет Kerberos с некорректной контрольной суммой arcfour-hmac-md5 PAC. Локальный сервис с доступом к привилегированному каналу связи с winbindd может инициировать оседание в кэше winbindd некорректных прав доступа. URL: http://www.mail-archive.com/samba-announce@lists.samba.... Новость: https://www.opennet.ru/opennews/art.shtml?num=45718

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Представлены (http://www.mail-archive.com/samba-announce@lists.samba.org/msg00379.html) 
> корректирующие обновления  Samba 4.5.3, 4.4.8 и 4.3.13, в которых устранена 
> порция уязвимостей. Одна из проблем (CVE-2016-2123 (https://www.samba.org/samba/security/CVE-2016-2123.html)) 
> позволяет осуществить атаку, которая может привести к удалённому выполнению кода на 
> сервере. Уязвимость проявляется только в Samba 4. Для проведения атаки требуется 
> аутентифицированный доступ к серверу.

> Уязвимость вызвана ошибкой в функции ndr_pull_dnsp_name, которую можно использовать для 
> инициирования переполнения буфера при обработке специально оформленных атрибутов dnsRecord 
> в БД Samba Active Directory. Атаку может совершить любой пользователь, имеющий 
> возможность записи атрибута dnsRecord через LDAP. По умолчанию  полномочия записи 
> dnsRecord для новых DNS-объектов имеются у всех аутентифицированных пользователей LDAP.

> Проблема пока не исправлена в дистрибутивах Linux (Debian (https://security-tracker.debian.org/tracker/CVE-2016-2123), 
> Ubuntu (https://www.ubuntu.com/usn/), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-2123)). 
> RHEL и CentOS 5, 6, 7 проблеме не подвержены, так поставляют 
> пакеты Samba без AD DNS Server. В качестве обходного пути защиты 
> для зоны DNS можно изменить уровень ntSecurityDescriptor, но это приведёт урезанию 
> нужной функциональности и изменению поведения контроллера домена Active Directory.

> Из других устранённых уязвимостей отмечаются:

> -  CVE-2016-2125 (https://www.samba.org/samba/security/CVE-2016-2125.html) - делегирование 
> излишних полномочий серверу Kerberos. Samba-клиент всегда запрашивает делегируемый тикет 
> при аутентификации через Kerberos, что подразумевает наличие у  сервера  
> Kerberos тикета "Ticket Granting Ticket" (TGT), позволяющего получить любой доступ от 
> имени аутентифицированного пользователя или сервиса;

> -  CVE-2016-2126 (https://www.samba.org/samba/security/CVE-2016-2126.html) - уязвимость 
> в коде проверки Kerberos PAC, которая может привести к повышению привилегий. 
> Удалённый аутентифицированный атакующий может инициировать крах процесса winbindd отправив 
> легитимный тикет  Kerberos  с некорректной контрольной суммой arcfour-hmac-md5 PAC. 
> Локальный сервис с доступом к привилегированному каналу связи с winbindd может 
> инициировать оседание в кэше  winbindd некорректных прав доступа.

> URL: http://www.mail-archive.com/samba-announce@lists.samba.org/msg00379.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=45718

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру