Представлены (http://www.mail-archive.com/samba-announce@lists.samba....) корректирующие обновления Samba 4.5.3, 4.4.8 и 4.3.13, в которых устранена порция уязвимостей. Одна из проблем (CVE-2016-2123 (https://www.samba.org/samba/security/CVE-2016-2123.html)) позволяет осуществить атаку, которая может привести к удалённому выполнению кода на сервере. Уязвимость проявляется только в Samba 4. Для проведения атаки требуется аутентифицированный доступ к серверу.
Уязвимость вызвана ошибкой в функции ndr_pull_dnsp_name, которую можно использовать для инициирования переполнения буфера при обработке специально оформленных атрибутов dnsRecord в БД Samba Active Directory. Атаку может совершить любой пользователь, имеющий возможность записи атрибута dnsRecord через LDAP. По умолчанию полномочия записи dnsRecord для новых DNS-объектов имеются у всех аутентифицированных пользователей LDAP.
Проблема пока не исправлена в дистрибутивах Linux (Debian (https://security-tracker.debian.org/tracker/CVE-2016-2123), Ubuntu (https://www.ubuntu.com/usn/), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2016-2123)). RHEL и CentOS 5, 6, 7 проблеме не подвержены, так поставляют пакеты Samba без AD DNS Server. В качестве обходного пути защиты для зоны DNS можно изменить уровень ntSecurityDescriptor, но это приведёт урезанию нужной функциональности и изменению поведения контроллера домена Active Directory.
Из других устранённых уязвимостей отмечаются:
- CVE-2016-2125 (https://www.samba.org/samba/security/CVE-2016-2125.html) - делегирование излишних полномочий серверу Kerberos. Samba-клиент всегда запрашивает делегируемый тикет при аутентификации через Kerberos, что подразумевает наличие у сервера Kerberos тикета "Ticket Granting Ticket" (TGT), позволяющего получить любой доступ от имени аутентифицированного пользователя или сервиса;
- CVE-2016-2126 (https://www.samba.org/samba/security/CVE-2016-2126.html) - уязвимость в коде проверки Kerberos PAC, которая может привести к повышению привилегий. Удалённый аутентифицированный атакующий может инициировать крах процесса winbindd отправив легитимный тикет Kerberos с некорректной контрольной суммой arcfour-hmac-md5 PAC. Локальный сервис с доступом к привилегированному каналу связи с winbindd может инициировать оседание в кэше winbindd некорректных прав доступа.
URL: http://www.mail-archive.com/samba-announce@lists.samba....
Новость: https://www.opennet.ru/opennews/art.shtml?num=45718