В Samba устранено 8 опасных уязвимостей

10.11.2021 15:20

Опубликованы корректирующие выпуски пакета Samba 4.15.2, 4.14.10 и 4.13.14 с устранением 8 уязвимостей, большинство из которых могут привести к полной компрометации домена Active Directory. Примечательно, что одну из проблем исправляли с 2016 года, а пять - с 2020 года, тем не менее одно исправление привело к невозможности запустить winbindd при наличии настройки "allow trusted domains = no" (разработчики намерены оперативно опубликовать ещё одно обновление с исправлением). Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.

Устранённые уязвимости:

CVE-2020-25717 - из-за недоработки логики маппинга пользователей домена с пользователями локальной системы, пользователь домена Active Directory, имеющий возможность создавать новые учётные записи на своей системе, управляемые через ms-DS-MachineAccountQuota, мог получить доступ с правами root на другие системы, входящие в домен.
CVE-2021-3738 - обращение к уже освобождённой области памяти (Use after free) в реализации RPC-сервера Samba AD DC (dsdb), которое потенциально может привести к повышению привилегий при манипуляции с установкой соединений.
CVE-2016-2124 - клиентские соединения, установленные с использованием протокола SMB1, могли быть переведены на передачу параметров аутентификации открытым текстом или через NTLM (например, для определения учётных данных при совершении MITM-атак), даже если для пользователя или приложения в настройках определена обязательная аутентификация через Kerberos.
CVE-2020-25722 - в контроллере домена Active Directory на базе Samba не выполнялись должные проверки доступа к хранимым данным, что позволяло любому пользователю обойти проверки полномочий и полностью скомпрометировать домен.
CVE-2020-25718 - в контроллере домена Active Directory на базе Samba не корректно изолировались ticket-ы Kerberos, выданные RODC (Read-only domain controller), что могло использоваться для получения у RODC тикетов администратора, не имея на это полномочий.
CVE-2020-25719 - контроллер домена Active Directory на базе Samba не всегда учитывал в связке поля SID и PAC в ticket-ах Kerberos (при настройке "gensec:require_pac = true" проверялось только имя, а PAC не учитывался), что позволяло пользователю, имеющему право создавать учётные записи на локальной системе, выдать себя за другого пользователя в домене, в том числе привилегированного.
CVE-2020-25721 - для пользователей, прошедших аутентификацию с использованием Kerberos, выдавались не всегда уникальные идентификаторы для Active Directory (objectSid), что могло привести к пересечениям одного пользователя с другим.
CVE-2021-23192 - при проведении MITM-атаки имелась возможность подмены фрагментов в больших запросах DCE/RPC, разбиваемых на несколько частей.

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/56132-samba

Ключевые слова: samba

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (51)

1.1, Аноним (1), 15:32, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]	+9 +/–
Ну, это самба. То ли ещё будет, когда её в ядро протащат.

2.5, пох.. (?), 15:42, 10/11/2021 [^] [^^] [^^^] [ответить]	+2 +/–
Мущина, проснитесь, проснитесь скорее! ksmbd - УЖЕ в вашем ведре. (а, смотрю, вы и не спите?)

3.20, Аноним (20), 16:28, 10/11/2021 [^] [^^] [^^^] [ответить]	–3 +/–
Непонятно, почему поха минуснули? :) У кого-то пригорело? Так просвещайтесь: https://www.kernel.org/doc/html/latest//filesystems/cifs/ksmbd.html

4.21, Аноним (21), 17:37, 10/11/2021 [^] [^^] [^^^] [ответить]	+9 +/–
Модуль файлового сервера это далеко не вся Samba. AD и около него в ядре нет.

5.34, pofigist (?), 21:34, 10/11/2021 [^] [^^] [^^^] [ответить]	+/–
Пока нет. Ключевое слово - пока.

6.43, Аноним (43), 02:31, 11/11/2021 [^] [^^] [^^^] [ответить]	+/–
Когда будет, тогда и приходи.

3.29, Аноним (29), 20:41, 10/11/2021 [^] [^^] [^^^] [ответить]	+/–
В 5.15 только.

3.56, Ольбертович (?), 17:39, 13/11/2021 [^] [^^] [^^^] [ответить]	+/–
Как Вас зовут? Не слышу, ну и ладно, пойду покакаю

2.19, Аноним (19), 16:25, 10/11/2021 [^] [^^] [^^^] [ответить]	+6 +/–
К слову, в ksmbd только SMB3 и без расширенных возможностей. А в статье уязвимости в AD и SMB1

3.22, пох.. (?), 18:20, 10/11/2021 [^] [^^] [^^^] [ответить]

–6 +/–

ну здрасьте... там как раз все кроме безнадежно мертвого v1, и (тадам!) с Rdma, ради которого вроде как и затевалось пихание всего и вся в ведро, "что-то не получилось", как обычно.

Остальное в наличии, большая часть правда через userspace-daemon, но тот ни разу не самба и интеграцию с ней и ее тулзами обещают...когда-нибудь...лет через пятьдесят-семьдесят (ибо нехер лезть со своей подделкой под AD туда где ms еще продает оригиналы)

А пока вон, пройдись с диске...флэшкой и скопируй всем пароли.

4.37, ананим.orig (?), 22:04, 10/11/2021 [^] [^^] [^^^] [ответить]	+1 +/–
> и (тадам!) с Rdma, ради которого вроде как и затевалось пихание всего и вся в ведро, каким местом сабж относится к ядру? если без барабанов в голове?

1.2, QwertyReg (ok), 15:34, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]	–12 +/–
> пользователь домена Active Directory, имеющий возможность создавать новые учётные записи на своей системе, управляемые через ms-DS-MachineAccountQuota, мог получить доступ с правами root на другие системы, входящие в домен. Это же просто прелестно. Я даже не знаю, как выразить всё своё восхищение качеством и безопасностью открытого кода. Такую-то закладку столько-то времени держать открытой, моё почтение разработчикам.

2.3, 41 (?), 15:37, 10/11/2021 [^] [^^] [^^^] [ответить]	+2 +/–
закладки открытыми не держат

2.4, Аноним (4), 15:40, 10/11/2021 [^] [^^] [^^^] [ответить]	+9 +/–
Ну да, это конечно не сравнить с сегодняшним раскрытием 55 уязвимостей в продуктах Microsoft, из которых куча Remote Code Execution без аутентификации. В Samba всего-то для атаки требуется наличие прав админа :-) https://www.zerodayinitiative.com/blog/2021/11/9/the-november-2021-security-up

3.8, Аноним (4), 15:47, 10/11/2021 [^] [^^] [^^^] [ответить]	+5 +/–
Особенно порадовали дыры "CVE-2021-42298 Microsoft Defender Remote Code Execution Vulnerability" и "CVE-2021-38666 Remote Desktop Client Remote Code Execution Vulnerability" Из 55 уязвимостей для двух уже в обиходе применялись эксплоиты, а у четырёх информация была публично раскрыта до исправления. Зачем им торопиться, enterprise же.

3.13, QwertyReg (ok), 15:57, 10/11/2021 Скрыто ботом-модератором [к модератору]	–9 +/–

4.15, деанон (?), 16:01, 10/11/2021 Скрыто ботом-модератором [к модератору]	+/–

3.18, iPony129412 (?), 16:19, 10/11/2021 [^] [^^] [^^^] [ответить]	–2 +/–
> For November, Microsoft released patches today for 55 new CVEs in Microsoft Windows and Windows Components, Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office and Office Components, Windows Hyper-V, Windows Defender, and Visual Studio. А смешно. К чему это сравнение с таким гигантским фронтом?

3.44, ВыньОпух неавторизован (ok), 05:21, 11/11/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Ну это ж MS! Это уже нормально.

2.6, пох.. (?), 15:42, 10/11/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Ну так ты ж не умеешь кодить, а кто за тебя будет-то?

3.7, Анонн (?), 15:47, 10/11/2021 [^] [^^] [^^^] [ответить]	–3 +/–
Как показывает эта заметка - они тоже не умеют.

4.17, Аноним (17), 16:15, 10/11/2021 [^] [^^] [^^^] [ответить]	+5 +/–
Не показывает. У них есть продукт. А у него только мохнатые ручки и подслеповатые глазки

1.9, BratishkaErik (ok), 15:48, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
UOD: извините, в ядре другое А ведь его в ядре 5.15 приняли... Хорошо, что menuconfig существует

2.10, iPony129412 (?), 15:53, 10/11/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Samba в ядро не принимали. Там своя. Более лёгкая реализация.

3.14, BratishkaErik (ok), 15:57, 10/11/2021 [^] [^^] [^^^] [ответить]	–1 +/–
гуд

4.48, _ (??), 19:04, 11/11/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Ну да, ну да - гуд ... в другой руке(С)

2.11, Аноним (11), 15:54, 10/11/2021 [^] [^^] [^^^] [ответить]	+3 +/–
Не путайте ksmbd с отдельной самбой. У них вообще общего кода нет, по моему.

3.12, BratishkaErik (ok), 15:57, 10/11/2021 [^] [^^] [^^^] [ответить]	–1 +/–
А, ну круто :)

4.49, _ (??), 19:05, 11/11/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Когда тебя чпокнут через жто - ты такой - "Да это же не самба - не щитово!" :-))) А чпокнут обязательно, просто сказка - ремотный доступ прямо в кЁрелХ ... вАх!(С)

2.16, iPony129412 (?), 16:08, 10/11/2021 [^] [^^] [^^^] [ответить]	–1 +/–
И тем более 7 из этих 8 уязвимостей в принципе не могут быть найдены в этом самом ядреннном. Потому что оно это не умеет (SMBv1 и Active Directory).

3.50, _ (??), 19:07, 11/11/2021 [^] [^^] [^^^] [ответить]	–2 +/–
... пока не умеет. Но ведь такое не в первый раз происходит :-Р

1.23, Аноним (23), 19:07, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> клиентские соединения, установленные с использованием протокола SMB1 А может уже пришла пора выпилить этот протокол совсем? Когда будет возможность выпиливать smb1 на этапе компиляции целиком вместе с его вонючим lanmanager? Небось размазали по всей samba его...

2.52, Аноним (52), 21:16, 11/11/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Вообщем-то, в винде уже давно выпилили, как раз из-за дыреней.

1.24, qwe (??), 19:22, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Когда пошла мода тянуть в ядро клиентские приложения/функционал аля винда? Wireguard привязан к производительности сети - это понятно. А самба каким боком важность заработала?

2.25, qwe (??), 19:22, 10/11/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Т.е. суть есть ftp в ядре. Это где видано? Охренеть приплыли.

3.31, Нанобот (ok), 21:04, 10/11/2021 [^] [^^] [^^^] [ответить]	+/–
Был когда-то http-сервер в ядре, tux назывался. Правда в состав оффициальных ядер он не входил вроде

2.26, Аноним (-), 19:46, 10/11/2021 [^] [^^] [^^^] [ответить]

–2 +/–

> Когда пошла мода тянуть в ядро клиентские
> приложения/функционал аля винда?

Ньюфаг что ли? Аля винда это клиент-серверное взаимодействие, API/DOM/DCOM/RPC.
Врубать в ядро всё подряд c возможностью отключения - это чисто линуксовый подход.

> Wireguard привязан к производительности сети
> - это понятно.

Вирегард - вишенка на торте. Линуксовое ядро что твой фаршированный болгарский перец уже как лет 20.

2.30, Нанобот (ok), 20:58, 10/11/2021 [^] [^^] [^^^] [ответить]

+/–

> А самба каким боком важность заработала?

реализация на уровне ядра более эффективна с точки зрения производительности, потребления памяти и интеграции с расширенными возможностями ядра.

(так написано в предыдущей новости по ksmbd)

1.27, Аноним (23), 19:46, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Оффтопик, конечно, но у меня вопрос про переводы и как к этому относиться Навер... большой текст свёрнут, показать

2.35, Demo (??), 21:46, 10/11/2021 [^] [^^] [^^^] [ответить]	–1 +/–
> переводы терминов на русский какие-то... коряво звучащие Дело привычки. Когда годами долбят про "значительные выпуски", "жетоны" и проч., потом не нужно удивляться, что разработчики софта (!) просят IT-отдел на рабочие станции ставить "русскую версию" того-то и сего-то.

3.36, Аноним (23), 21:58, 10/11/2021 [^] [^^] [^^^] [ответить]	+1 +/–
то ли дело когда они говорят вслух про мажорные релизы и токены на своём эльфийском диалекте русского

2.39, Аноним (39), 23:30, 10/11/2021 [^] [^^] [^^^] [ответить]	+/–
Вообще-то ticket в Kerberos официально именуется сеансовым мандатом, а не билетом. Но при таком упоминании не очевидно, что имеется в виду, а при написании "ticket" тем, кто давно работает с Kerberos, сразу становится понято о чем речь. Вы же предлагайте перевод ради перевода, при котором никто не поймёт что подразумевалось.

3.47, Аноним (23), 10:36, 11/11/2021 [^] [^^] [^^^] [ответить]	+/–
Не так Сеансовый мандат - это как раз та самая сущность, которой оперирует ка... большой текст свёрнут, показать

4.51, _ (??), 19:13, 11/11/2021 [^] [^^] [^^^] [ответить]	–2 +/–
Сеансовый мандат - это ты! :) Вот ещё на вашем - НГМД, КДПЗУ ну и прочий ППЦ :-D Уххх аж зубы свело :-F

1.28, Аноним (1), 20:25, 10/11/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–1 +/–

1.32, Аноним (32), 21:18, 10/11/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Ооооо, а где тут любитель обмазываться дыркой в ексчендже? Ну который тут непрерывно скакал петушком и рассказывал как это опасно в любой новости. Пропал что-ли? Ан нет, выше кго брат пришёл, с первой нагугленной ссылкой на всю инфраструктуру мс.

1.38, Аноним (38), 22:27, 10/11/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

1.53, Kuromi (ok), 00:41, 12/11/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Самое забавное когда хочешь удалить Самбу нафиг из дистрибутива, но оказывается что её хочет MPV.

2.54, Аноним (11), 10:54, 12/11/2021 [^] [^^] [^^^] [ответить]	+/–
Знвчит вот такой у вас хреновый дистрибутив.

2.55, Аноним (-), 10:59, 12/11/2021 [^] [^^] [^^^] [ответить]	+/–
А в твоём дистре не различаются мягкие и жёсткие зависимости?

2.57, Coldman (?), 09:50, 15/11/2021 [^] [^^] [^^^] [ответить]	+/–
$ sudo pacman -R samba проверка зависимостей... :: libsoup опционально требует samba: Windows Domain SSO :: libsoup3 опционально требует samba: Windows Domain SSO :: mc опционально требует samba: VFS support Пакеты (1) samba-4.15.2-1 Будет освобождено: 54,82 MiB

игнорирование участников | лог модерирования

Добавить комментарий

Текст: