The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.03.2018 12:34  Критическая уязвимость в Samba, позволяющая поменять пароль любого пользователя

В предоставляемом в Samba LDAP-сервере с реализацией контроллера домена Active Directory выявлена критическая уязвимость (CVE-2018-1057), которая позволяет любому непривилегированному пользователю, авторизированному через LDAP, изменить пароль других пользователей, в том числе администраторов и привилегированных пользователей контроллера домена.

Проблеме подвержены все выпуски Samba 4.x. Уязвимость вызвана ошибкой в задании полномочий на смену пароля в AD. Право на смену пароля задаётся в AD как расширенный объект доступа, который по умолчанию предоставляет право смены пароля не только для объектов пользователя (self), но и для любых других объектов (world). Проблема проявляется только в Samba Active Directory DC и не проявляется в Samba3, доменах NT4, классических доменах и на файловых серверах.

Отследить недавние изменения паролей можно командой:


   ldbsearch -H /usr/local/samba/private/sam.ldb objectclass=user pwdLastSet msDS-KeyVersionNumber

Для защиты без обновления можно использовать специально подготовленный скрипт samba_CVE-2018-1057_helper, который позволяет отозвать у всех объектов пользователей, в том числе компьютеров пользователей, право смены паролей в контексте "world" и оставить только право смены собственного пароля. До установки обновления также можно временно запретить смену паролей, добавив в файл конфигурации smb.conf строку "check password script = /bin/false", или установив минимальный размер пароля в максимально возможное значение (2 Гб).

Уязвимость устранена в выпусках Samba 4.8.0, 4.7.6, 4.6.14 и 4.5.16. Обновления пакетов с устранением уязвимости уже доступны в Debian, FreeBSD, Ubuntu и Fedora. Исправление пока не выпущено для openSUSE. RHEL и SUSE Linux Enterprise проблеме не подвержены, так как не используют Samba 4 AD DC.

  1. Главная ссылка к новости (https://lists.samba.org/archiv...)
  2. OpenNews: Выпуск Samba 4.7.0
  3. OpenNews: Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением уязвимостей
  4. OpenNews: Обновление Samba 4.6.8, 4.5.14 и 4.4.16 с устранением уязвимостей
  5. OpenNews: Критическая уязвимость в Heimdal Kerberos, затрагивающая Samba 4
  6. OpenNews: Уязвимость в Samba, позволяющая выполнить код на сервере
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 12:48, 14/03/2018 [ответить] [смотреть все]    [к модератору]
  • +/
    только вчера в протоколе исправили уязвимости, и тут на опять вылезло.
     
     
  • 2.3, пох, 12:53, 14/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +/
    ну а причем бы тут - протокол Ляп не в протоколе, а в схеме а жаль, прекрасно... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, pavlinux, 14:21, 14/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Ты пропустил предыдущие 25 лет Виндуза, там не пароли, там через АД БИОС коллект... весь текст скрыт [показать]
     
  • 3.11, EHLO, 14:24, 14/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Зачем так сложно На, выбирай https www cvedetails com vulnerability-list vend... весь текст скрыт [показать]
     
  • 3.28, Аноним, 21:50, 14/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если атакующий получил администратора или system на домен контроллере, в принцип... весь текст скрыт [показать]
     
  • 1.2, Аноним, 12:48, 14/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    В Red Hat как чувствовали, отказываясь делать AD DC на ] Samba.
     
     
  • 2.4, redgad, 13:05, 14/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    мы _знали_ не про саму уязвимость, конечно, а про то, какими руками четвертая с... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, Аноним, 13:28, 14/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Что, их Лёня тоже участвовал?
     
     
  • 4.6, Аноним, 13:50, 14/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    Лёня пишет альтернативу samba и встраивает её в systemd.
     
     
  • 5.7, Аноним, 14:07, 14/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >Лёня пишет альтернативу samba и встраивает её в systemd.

    symbad ?
      

     
     
  • 6.8, Аноним, 14:14, 14/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    systemd-symbadd... весь текст скрыт [показать]
     
  • 6.13, Anonymouse, 15:04, 14/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +14 +/
    symbad-morehod
     
  • 5.9, kvaps, 14:17, 14/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Вообще там FreeIPA который на 386ds построен
     
  • 5.17, Нанобот, 16:35, 14/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    наконец-то в линуксе появится нормальный файлсервер!
     
  • 1.14, Аноним, 15:18, 14/03/2018 [ответить] [смотреть все]    [к модератору]  
  • –6 +/
    NFS не быстрее и безопаснее будет?
     
     
  • 2.15, pavlinux, 15:45, 14/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +4 +/
    > NFS не быстрее и безопаснее будет?

    Шёл мимо? ... ди.

     
  • 2.19, Вимя, 17:04, 14/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –2 +/
    NFS мёртв
     
     
  • 3.23, Аноним, 18:09, 14/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    afp тоже мертв, apple перешел на SMB
     
  • 2.27, Аноним, 21:42, 14/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Чем LDAP с реализацией AD Ну даже и не знаю ... весь текст скрыт [показать] [показать ветку]
     
  • 2.30, Анонри, 22:12, 14/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    не быстрее и не безопаснее даже по сравнению с smb Там вообще разграничения п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, Аноним, 12:08, 15/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Как раз не странно Одни в своём глазу бревна не замечают Другие уже выросли из... весь текст скрыт [показать]
     
  • 1.16, Аноним, 16:10, 14/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Спасибо за ответ, это очень ценная информация )
     
  • 1.18, Мишаня Роялефил, 17:02, 14/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    опять гениальные С программисты так сильно концентрировались на сегментации и указателях, что забыли думать головой!
     
     
  • 2.22, Аноним, 17:44, 14/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Гениальным питон-программистам отсутствие указателей не мешает делать аналогичны... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 12:10, 15/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А гениальным go- или, скажем, java-программистам что-то мешает делать аналогичны... весь текст скрыт [показать]
     
     
  • 4.39, ТОТ КТО НАДО, 17:42, 15/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    отсутствие ненужной функциональности и присутствие нужной - очевидно же ... весь текст скрыт [показать]
     
     
  • 5.40, EHLO, 17:58, 15/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    хорошим танцорам отсутствие ненужной функциональности мешает плохо танцевать ... весь текст скрыт [показать]
     
  • 1.24, Hellraiser, 20:39, 14/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    > которая позволяет любому непривилегированному пользователю, авторизированному через LDAP, изменить пароль других пользователей, в том числе администраторов и привилегированных пользователей контроллера домена

    это просто праздник какой-то (с)

     
  • 1.25, Аноним, 20:56, 14/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Ух ты! "А можно я стану директором этой фирмы?"
     
     
  • 2.45, Аноним, 07:21, 18/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    К сожалению, пока только этой фирмы Уязвимость локальная в рамках только вашей ... весь текст скрыт [показать] [показать ветку]
     
  • 1.29, Аноним, 22:08, 14/03/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Почему 2 Гб Обычно размер пароля задается в кубических метрах или на худой коне... весь текст скрыт [показать]
     
     
  • 2.35, Аноним, 12:12, 15/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    В военное время пароль, как и число Пи, может достигать любой величины по усмотр... весь текст скрыт [показать] [показать ветку]
     
  • 1.31, Сергей, 23:55, 14/03/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    интересно, а чем обычный лдап самбоцев не удовлетворил... Впрочем, это обычная тактика гпл-ков, изобретать велосипед...
     
     
  • 2.36, Аноним, 12:13, 15/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    В том и проблема, что обычного нет, а есть зоопарк ldap. И все необычные.
     
  • 1.32, anomymous, 09:14, 15/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Плджад, вот что связано с инженерингом от мс и около - это тотальная труба. Даже опенсорс. openldap - монструозный багодром, в samba - дыра за дырой, sssd течёт в разных местах, как проклятый.
     
     
  • 2.37, Аноним, 12:16, 15/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    С этого места пожалуйста поподобней с Давно присматриваюсь к нему, но гложут ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, anomymous, 08:17, 16/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Имхо течёт много где, судя по мейллистам и багтрекерам.
    Личный опыт - CentOS. Как начал течь в 7.0, так и течёт в 7.latest. Кейс - банальная AD аутентификация для входа в консоль. Течёт рандомно и судя по всему независимо от наличия консольных входов. На части машин протекал по мегабайту в неделю, на части - гиг за три дня. Пришлось выкинуть.
     
  • 1.38, masyadm, 15:33, 15/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Уважаемые подскажите пожалуйста, кто-нибудь пробовал менять пароли через указанную уязвимость? Успех? И какой алгоритм действий?
    Заранее спасибо.
     
     
  • 2.42, anomymous, 08:19, 16/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    И ключи от квартиры, да.
     
     
  • 3.43, masyadm, 09:20, 16/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Окнорм, по существу ответ.
    Пробовал хотя бы менять пароль?
     
     
  • 4.44, count0krsk, 15:54, 17/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А самому слабо, консоль далеко?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor