The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Samba устранено 8 опасных уязвимостей

10.11.2021 15:20

Опубликованы корректирующие выпуски пакета Samba 4.15.2, 4.14.10 и 4.13.14 с устранением 8 уязвимостей, большинство из которых могут привести к полной компрометации домена Active Directory. Примечательно, что одну из проблем исправляли с 2016 года, а пять - с 2020 года, тем не менее одно исправление привело к невозможности запустить winbindd при наличии настройки "allow trusted domains = no" (разработчики намерены оперативно опубликовать ещё одно обновление с исправлением). Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.

Устранённые уязвимости:

  • CVE-2020-25717 - из-за недоработки логики маппинга пользователей домена с пользователями локальной системы, пользователь домена Active Directory, имеющий возможность создавать новые учётные записи на своей системе, управляемые через ms-DS-MachineAccountQuota, мог получить доступ с правами root на другие системы, входящие в домен.
  • CVE-2021-3738 - обращение к уже освобождённой области памяти (Use after free) в реализации RPC-сервера Samba AD DC (dsdb), которое потенциально может привести к повышению привилегий при манипуляции с установкой соединений.
  • CVE-2016-2124 - клиентские соединения, установленные с использованием протокола SMB1, могли быть переведены на передачу параметров аутентификации открытым текстом или через NTLM (например, для определения учётных данных при совершении MITM-атак), даже если для пользователя или приложения в настройках определена обязательная аутентификация через Kerberos.
  • CVE-2020-25722 - в контроллере домена Active Directory на базе Samba не выполнялись должные проверки доступа к хранимым данным, что позволяло любому пользователю обойти проверки полномочий и полностью скомпрометировать домен.
  • CVE-2020-25718 - в контроллере домена Active Directory на базе Samba не корректно изолировались ticket-ы Kerberos, выданные RODC (Read-only domain controller), что могло использоваться для получения у RODC тикетов администратора, не имея на это полномочий.
  • CVE-2020-25719 - контроллер домена Active Directory на базе Samba не всегда учитывал в связке поля SID и PAC в ticket-ах Kerberos (при настройке "gensec:require_pac = true" проверялось только имя, а PAC не учитывался), что позволяло пользователю, имеющему право создавать учётные записи на локальной системе, выдать себя за другого пользователя в домене, в том числе привилегированного.
  • CVE-2020-25721 - для пользователей, прошедших аутентификацию с использованием Kerberos, выдавались не всегда уникальные идентификаторы для Active Directory (objectSid), что могло привести к пересечениям одного пользователя с другим.
  • CVE-2021-23192 - при проведении MITM-атаки имелась возможность подмены фрагментов в больших запросах DCE/RPC, разбиваемых на несколько частей.


  1. Главная ссылка к новости (https://lists.samba.org/archiv...)
  2. OpenNews: Для ядра Linux предложена реализация SMB-сервера
  3. OpenNews: Новые версии Samba 4.14.4, 4.13.8 и 4.12.15 с устранением уязвимости
  4. OpenNews: Реализация контроллера домена в Samba оказалась подвержена уязвимости ZeroLogin
  5. OpenNews: Критическая уязвимость в Samba, позволяющая поменять пароль любого пользователя
  6. OpenNews: Критическая уязвимость в Heimdal Kerberos, затрагивающая Samba 4
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56132-samba
Ключевые слова: samba
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (51) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:32, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Ну, это самба. То ли ещё будет, когда её в ядро протащат.
     
     
  • 2.5, пох.. (?), 15:42, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мущина, проснитесь, проснитесь скорее!

    ksmbd - УЖЕ в вашем ведре. (а, смотрю, вы и не спите?)

     
     
  • 3.20, Аноним (20), 16:28, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Непонятно, почему поха минуснули? :) У кого-то пригорело? Так просвещайтесь: https://www.kernel.org/doc/html/latest//filesystems/cifs/ksmbd.html
     
     
  • 4.21, Аноним (21), 17:37, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Модуль файлового сервера это далеко не вся Samba. AD и около него в ядре нет.
     
     
  • 5.34, pofigist (?), 21:34, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пока нет.
    Ключевое слово - пока.
     
     
  • 6.43, Аноним (43), 02:31, 11/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Когда будет, тогда и приходи.
     
  • 3.29, Аноним (29), 20:41, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В 5.15 только.
     
  • 3.56, Ольбертович (?), 17:39, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как Вас зовут? Не слышу, ну и ладно, пойду покакаю
     
  • 2.19, Аноним (19), 16:25, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    К слову, в ksmbd только SMB3 и без расширенных возможностей. А в статье уязвимости в AD и SMB1
     
     
  • 3.22, пох.. (?), 18:20, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    ну здрасьте... там как раз все кроме безнадежно мертвого v1, и (тадам!) с Rdma, ради которого вроде как и затевалось пихание всего и вся в ведро, "что-то не получилось", как обычно.

    Остальное в наличии, большая часть правда через userspace-daemon, но тот ни разу не самба и интеграцию с ней и ее тулзами обещают...когда-нибудь...лет через пятьдесят-семьдесят (ибо нехер лезть со своей подделкой под AD туда где ms еще продает оригиналы)

    А пока вон, пройдись с диске...флэшкой и скопируй всем пароли.

     
     
  • 4.37, ананим.orig (?), 22:04, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > и (тадам!) с Rdma, ради которого вроде как и затевалось пихание всего и вся в ведро,

    каким местом сабж относится к ядру?
    если без барабанов в голове?

     

  • 1.2, QwertyReg (ok), 15:34, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    > пользователь домена Active Directory, имеющий возможность создавать новые учётные записи на своей системе, управляемые через ms-DS-MachineAccountQuota, мог получить доступ с правами root на другие системы, входящие в домен.

    Это же просто прелестно. Я даже не знаю, как выразить всё своё восхищение качеством и безопасностью открытого кода. Такую-то закладку столько-то времени держать открытой, моё почтение разработчикам.

     
     
  • 2.3, 41 (?), 15:37, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    закладки открытыми не держат
     
  • 2.4, Аноним (4), 15:40, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Ну да, это конечно не сравнить с сегодняшним раскрытием 55 уязвимостей в продуктах Microsoft, из которых куча Remote Code Execution без аутентификации. В Samba всего-то для атаки требуется наличие прав админа :-)

    https://www.zerodayinitiative.com/blog/2021/11/9/the-november-2021-security-up

     
     
  • 3.8, Аноним (4), 15:47, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Особенно порадовали дыры "CVE-2021-42298 Microsoft Defender Remote Code Execution Vulnerability" и "CVE-2021-38666 Remote Desktop Client Remote Code Execution Vulnerability"

    Из 55 уязвимостей для двух уже в обиходе применялись эксплоиты, а у четырёх информация была публично раскрыта до исправления. Зачем им торопиться, enterprise же.

     
  • 3.13, QwertyReg (ok), 15:57, 10/11/2021 Скрыто модератором
  • –9 +/
     
     
  • 4.15, деанон (?), 16:01, 10/11/2021 Скрыто модератором
  • +/
     
  • 3.18, iPony129412 (?), 16:19, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > For November, Microsoft released patches today for 55 new CVEs in Microsoft Windows and Windows Components, Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office and Office Components, Windows Hyper-V, Windows Defender, and Visual Studio.

    А смешно. К чему это сравнение с таким гигантским фронтом?

     
  • 3.44, ВыньОпух неавторизован (ok), 05:21, 11/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну это ж MS! Это уже нормально.
     
  • 2.6, пох.. (?), 15:42, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так ты ж не умеешь кодить, а кто за тебя будет-то?
     
     
  • 3.7, Анонн (?), 15:47, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Как показывает эта заметка - они тоже не умеют.
     
     
  • 4.17, Аноним (17), 16:15, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Не показывает. У них есть продукт. А у него только мохнатые ручки и подслеповатые глазки
     

  • 1.9, BratishkaErik (ok), 15:48, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    UOD: извините, в ядре другое

    А ведь его в ядре 5.15 приняли... Хорошо, что menuconfig существует

     
     
  • 2.10, iPony129412 (?), 15:53, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Samba в ядро не принимали.
    Там своя. Более лёгкая реализация.
     
     
  • 3.14, BratishkaErik (ok), 15:57, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    гуд
     
     
  • 4.48, _ (??), 19:04, 11/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну да, ну да - гуд ... в другой руке(С)
     
  • 2.11, Аноним (11), 15:54, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не путайте ksmbd с отдельной самбой. У них вообще общего кода нет, по моему.
     
     
  • 3.12, BratishkaErik (ok), 15:57, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А, ну круто :)
     
     
  • 4.49, _ (??), 19:05, 11/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Когда тебя чпокнут через жто - ты такой - "Да это же не самба - не щитово!" :-))) А чпокнут обязательно, просто сказка - ремотный доступ прямо в кЁрелХ ... вАх!(С)
     
  • 2.16, iPony129412 (?), 16:08, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И тем более 7 из этих 8 уязвимостей в принципе не могут быть найдены в этом самом ядреннном.
    Потому что оно это не умеет (SMBv1 и Active Directory).
     
     
  • 3.50, _ (??), 19:07, 11/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ... пока не умеет. Но ведь такое не в первый раз происходит :-Р
     

  • 1.23, Аноним (23), 19:07, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > клиентские соединения, установленные с использованием протокола SMB1

    А может уже пришла пора выпилить этот протокол совсем?
    Когда будет возможность выпиливать smb1 на этапе компиляции целиком вместе с его вонючим lanmanager? Небось размазали по всей samba его...

     
     
  • 2.52, Аноним (52), 21:16, 11/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообщем-то, в винде уже давно выпилили, как раз из-за дыреней.
     

  • 1.24, qwe (??), 19:22, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Когда пошла мода тянуть в ядро клиентские приложения/функционал аля винда?
    Wireguard привязан к производительности сети - это понятно.

    А самба каким боком важность заработала?

     
     
  • 2.25, qwe (??), 19:22, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Т.е. суть есть ftp в ядре. Это где видано? Охренеть приплыли.
     
     
  • 3.31, Нанобот (ok), 21:04, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Был когда-то http-сервер в ядре, tux назывался. Правда в состав оффициальных ядер он не входил вроде
     
  • 2.26, Аноним (-), 19:46, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Когда пошла мода тянуть в ядро клиентские
    > приложения/функционал аля винда?

    Ньюфаг что ли? Аля винда это клиент-серверное взаимодействие, API/DOM/DCOM/RPC.
    Врубать в ядро всё подряд c возможностью отключения - это чисто линуксовый подход.

    > Wireguard привязан к производительности сети
    > - это понятно.

    Вирегард - вишенка на торте. Линуксовое ядро что твой фаршированный болгарский перец уже как лет 20.

     
  • 2.30, Нанобот (ok), 20:58, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А самба каким боком важность заработала?

    реализация на уровне ядра более эффективна с точки зрения производительности, потребления памяти и интеграции с расширенными возможностями ядра.

    (так написано в предыдущей новости по ksmbd)

     

  • 1.27, Аноним (23), 19:46, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оффтопик, конечно, но у меня вопрос про переводы и как к этому относиться Навер... большой текст свёрнут, показать
     
     
  • 2.35, Demo (??), 21:46, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > переводы терминов на русский какие-то... коряво звучащие

    Дело привычки.
    Когда годами долбят про "значительные выпуски", "жетоны" и проч., потом не нужно удивляться, что разработчики софта (!) просят IT-отдел на рабочие станции ставить "русскую версию" того-то и сего-то.

     
     
  • 3.36, Аноним (23), 21:58, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    то ли дело когда они говорят вслух про мажорные релизы и токены на своём эльфийском диалекте русского
     
  • 2.39, Аноним (39), 23:30, 10/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то ticket в Kerberos официально именуется сеансовым мандатом, а не билетом. Но при таком упоминании не очевидно, что имеется в виду, а при написании "ticket" тем, кто давно работает с Kerberos,  сразу становится понято о чем речь. Вы же предлагайте перевод ради перевода, при котором никто не поймёт что подразумевалось.
     
     
  • 3.47, Аноним (23), 10:36, 11/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не так Сеансовый мандат - это как раз та самая сущность, которой оперирует ка... большой текст свёрнут, показать
     
     
  • 4.51, _ (??), 19:13, 11/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Сеансовый мандат - это ты! :)
    Вот ещё на вашем - НГМД, КДПЗУ ну и прочий ППЦ :-D
    Уххх аж зубы свело :-F
     

  • 1.28, Аноним (1), 20:25, 10/11/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –1 +/
     
  • 1.32, Аноним (32), 21:18, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ооооо, а где тут любитель обмазываться дыркой в ексчендже? Ну который тут непрерывно скакал петушком и рассказывал как это опасно в любой новости. Пропал что-ли? Ан нет, выше кго брат пришёл, с первой нагугленной ссылкой на всю инфраструктуру мс.
     
  • 1.38, Аноним (38), 22:27, 10/11/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +/
     
  • 1.53, Kuromi (ok), 00:41, 12/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самое забавное когда хочешь удалить Самбу нафиг из дистрибутива, но оказывается что её хочет MPV.
     
     
  • 2.54, Аноним (11), 10:54, 12/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Знвчит вот такой у вас хреновый дистрибутив.
     
  • 2.55, Аноним (-), 10:59, 12/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А в твоём дистре не различаются мягкие и жёсткие зависимости?
     
  • 2.57, Coldman (?), 09:50, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    $ sudo pacman -R samba
    проверка зависимостей...
    :: libsoup опционально требует samba: Windows Domain SSO
    :: libsoup3 опционально требует samba: Windows Domain SSO
    :: mc опционально требует samba: VFS support

    Пакеты (1) samba-4.15.2-1
    Будет освобождено:  54,82 MiB

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру