В предоставляемом в Samba LDAP-сервере с реализацией контроллера домена Active Director выявлена (https://lists.samba.org/archive/samba-announce/2018/000435.html) критическая уязвимость (https://wiki.samba.org/index.php/CVE-2018-1057) (CVE-2018-1057 (https://security-tracker.debian.org/tracker/CVE-2018-1057)), которая позволяет любому непривилегированному  пользователю, авторизированному через LDAP, изменить пароль других пользователей, в том числе администраторов и привилегированных пользователей контроллера домена.

Проблеме подвержены все выпуски Samba 4.x. Уязвимость вызвана ошибкой в задании полномочий на смену пароля в AD. Право на смену пароля  задаётся в AD как расширенный объект доступа, который по умолчанию предоставляет право смены пароля не только для объектов пользователя (self), но и для любых других объектов (world). Проблема проявляется только в  Samba Active Directory DC и не проявляется в Samba3, доменах NT4, классических доменах и на файловых серверах.

Отследить недавние изменения паролей можно командой:

   ldbsearch -H /usr/local/samba/private/sam.ldb objectclass=user pwdLastSet msDS-KeyVersionNumber

Для защиты без обновления можно использовать специально подготовленный скрипт samba_CVE-2018-1057_helper (https://download.samba.org/pub/samba/misc/samba_CVE-2018-105...), который позволяет отозвать у всех объектов пользователей, в том числе компьютеров пользователей, право смены паролей в контексте "world" и оставить только право смены собственного пароля. До установки обновления также можно временно запретить смену паролей, добавив в файл конфигурации smb.conf строку "check password script = /bin/false", или установив (https://wiki.samba.org/index.php/CVE-2018-1057#Setting_a_min...) минимальный размер пароля в максимально возможное значение (2 Гб).

Уязвимость устранена в выпусках Samba 4.8.0, 4.7.6, 4.6.14 и 4.5.16. Обновления пакетов с устранением уязвимости уже доступны в Debian (https://security-tracker.debian.org/tracker/CVE-2018-1057), FreeBSD (http://www.vuxml.org/freebsd/fb26f78a-26a9-11e8-a1c2-0050568...), Ubuntu (https://usn.ubuntu.com/3595-1/) и Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1554756). Исправление пока не выпущено для openSUSE (https://lists.opensuse.org/opensuse-security-announce/2018-03/). RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-1057) и SUSE Linux Enterprise (https://www.suse.com/security/cve/CVE-2018-1057/) проблеме не подвержены, так как не используют Samba 4 AD DC.

URL: https://lists.samba.org/archive/samba-announce/2018/000435.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=48261

• Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 12:48 , 14-Мрт-18
  • Критическая уязвимость в Samba, позволяющая поменять пароль ...,пох, 12:53 , 14-Мрт-18
    • Критическая уязвимость в Samba, позволяющая поменять пароль ...,pavlinux, 14:21 , 14-Мрт-18
    • Критическая уязвимость в Samba, позволяющая поменять пароль ...,EHLO, 14:24 , 14-Мрт-18
    • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 21:50 , 14-Мрт-18
• Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 12:48 , 14-Мрт-18
  • Критическая уязвимость в Samba, позволяющая поменять пароль ...,redgad, 13:05 , 14-Мрт-18
    • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 13:28 , 14-Мрт-18
      • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 13:50 , 14-Мрт-18
        • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 14:07 , 14-Мрт-18
          • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 14:14 , 14-Мрт-18
          • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Anonymouse, 15:04 , 14-Мрт-18
        • Критическая уязвимость в Samba, позволяющая поменять пароль ...,kvaps, 14:17 , 14-Мрт-18
        • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Нанобот, 16:35 , 14-Мрт-18
• Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 15:18 , 14-Мрт-18
  • Критическая уязвимость в Samba, позволяющая поменять пароль ...,pavlinux, 15:45 , 14-Мрт-18
  • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Вимя, 17:04 , 14-Мрт-18
    • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 18:09 , 14-Мрт-18
  • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 21:42 , 14-Мрт-18
  • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Анонри, 22:12 , 14-Мрт-18
    • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 12:08 , 15-Мрт-18
• Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 16:10 , 14-Мрт-18
• Критическая уязвимость в Samba, позволяющая поменять пароль ...,Мишаня Роялефил, 17:02 , 14-Мрт-18
  • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 17:44 , 14-Мрт-18
    • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 12:10 , 15-Мрт-18
      • Критическая уязвимость в Samba, позволяющая поменять пароль ...,ТОТ КТО НАДО, 17:42 , 15-Мрт-18
        • Критическая уязвимость в Samba, позволяющая поменять пароль ...,EHLO, 17:58 , 15-Мрт-18
• Критическая уязвимость в Samba, позволяющая поменять пароль ...,Hellraiser, 20:39 , 14-Мрт-18
• Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 20:56 , 14-Мрт-18
  • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 07:21 , 18-Мрт-18
• Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 22:08 , 14-Мрт-18
  • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 12:12 , 15-Мрт-18
• Критическая уязвимость в Samba, позволяющая поменять пароль ...,Сергей, 23:55 , 14-Мрт-18
  • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 12:13 , 15-Мрт-18
• Критическая уязвимость в Samba, позволяющая поменять пароль ...,anomymous, 09:14 , 15-Мрт-18
  • Критическая уязвимость в Samba, позволяющая поменять пароль ...,Аноним, 12:16 , 15-Мрт-18
    • Критическая уязвимость в Samba, позволяющая поменять пароль ...,anomymous, 08:17 , 16-Мрт-18
• Критическая уязвимость в Samba, позволяющая поменять пароль ...,masyadm, 15:33 , 15-Мрт-18
  • Критическая уязвимость в Samba, позволяющая поменять пароль ...,anomymous, 08:19 , 16-Мрт-18
    • Критическая уязвимость в Samba, позволяющая поменять пароль ...,masyadm, 09:20 , 16-Мрт-18
      • Критическая уязвимость в Samba, позволяющая поменять пароль ...,count0krsk, 15:54 , 17-Мрт-18

только вчера в протоколе исправили уязвимости, и тут на опять вылезло.

ну а причем бы тут - протокол. Ляп не в протоколе, а в схеме.

(а жаль, прекрасно было бы такое же - во всех windows ad... любой компьютерный акаунт меняет все пароли, какие хочет ;-)

Ты пропустил предыдущие 25 лет Виндуза, там не пароли, там через АД БИОС коллективно прошивали.

Зачем так сложно?
На, выбирай https://www.cvedetails.com/vulnerability-list/vendor_id-26/o...

> (а жаль, прекрасно было бы такое же - во всех windows ad...
> любой компьютерный акаунт меняет все пароли, какие хочет ;-)

Если атакующий получил администратора или system на домен контроллере, в принципе AD полный песец. Собственно comodohacker как-то наподобие и вынес diginotar'а. Им после этого только и оставалось что фирму закрыть - после такого расклада все компьютеры фирмы следует считать похакаными.

В Red Hat как чувствовали, отказываясь делать AD DC на ] Samba.

> В Red Hat как чувствовали, отказываясь делать AD DC на ] Samba.

мы _знали_
(не про саму уязвимость, конечно, а про то, какими руками четвертая самба написана)

Что, их Лёня тоже участвовал?

Лёня пишет альтернативу samba и встраивает её в systemd.

>Лёня пишет альтернативу samba и встраивает её в systemd.

symbad ?
  

>>Лёня пишет альтернативу samba и встраивает её в systemd.
> symbad ?

systemd-symbadd

symbad-morehod

Вообще там FreeIPA который на 386ds построен

наконец-то в линуксе появится нормальный файлсервер!

NFS не быстрее и безопаснее будет?

> NFS не быстрее и безопаснее будет?

Шёл мимо? ... ди.

NFS мёртв

afp тоже мертв, apple перешел на SMB

> NFS не быстрее и безопаснее будет?

Чем LDAP с реализацией AD? Ну даже и не знаю.

не быстрее и не безопаснее даже по сравнению с smb =) Там вообще разграничения прав доступа нет или прикручивается костылем.
Странно, что никто не юморит по поводу очередной элементарной дыры в открытом заменителе чего-то виндового, а случись такое в винде...

Как раз не странно. Одни в своём глазу бревна не замечают. Другие уже выросли из опеннетной клоунады, которую ты называешь юмором.

Спасибо за ответ, это очень ценная информация )

опять гениальные С программисты так сильно концентрировались на сегментации и указателях, что забыли думать головой!

Гениальным питон-программистам отсутствие указателей не мешает делать аналогичные ляпы.

> Гениальным питон-программистам отсутствие указателей не мешает делать аналогичные ляпы.

А гениальным go- или, скажем, java-программистам что-то мешает делать аналогичные ляпы?

>> Гениальным питон-программистам отсутствие указателей не мешает делать аналогичные ляпы.
> А гениальным go- или, скажем, java-программистам что-то мешает делать аналогичные ляпы?

отсутствие ненужной функциональности и присутствие нужной. - очевидно же!

>>> Гениальным питон-программистам отсутствие указателей не мешает делать аналогичные ляпы.
>> А гениальным go- или, скажем, java-программистам что-то мешает делать аналогичные ляпы?
> отсутствие ненужной функциональности и присутствие нужной. - очевидно

хорошим танцорам отсутствие ненужной функциональности мешает плохо танцевать  

> которая позволяет любому непривилегированному пользователю, авторизированному через LDAP, изменить пароль других пользователей, в том числе администраторов и привилегированных пользователей контроллера домена

это просто праздник какой-то (с)

Ух ты! "А можно я стану директором этой фирмы?"

К сожалению, пока только этой фирмы. Уязвимость локальная в рамках только вашей компании )

> ...или установив минимальный размер пароля в максимально возможное значение (2 Гб)

Почему 2 Гб? Обычно размер пароля задается в кубических метрах или на худой конец в футах за секунду.

> Почему 2 Гб? Обычно размер пароля задается в кубических метрах или на
> худой конец в футах за секунду.

В военное время пароль, как и число Пи, может достигать любой величины по усмотрению главнокомандующего.

интересно, а чем обычный лдап самбоцев не удовлетворил... Впрочем, это обычная тактика гпл-ков, изобретать велосипед...

В том и проблема, что обычного нет, а есть зоопарк ldap. И все необычные.

Плджад, вот что связано с инженерингом от мс и около - это тотальная труба. Даже опенсорс. openldap - монструозный багодром, в samba - дыра за дырой, sssd течёт в разных местах, как проклятый.

> sssd течёт в разных местах, как проклятый.

С этого места пожалуйста поподобней. (с) Давно присматриваюсь к нему, но гложут сомнения.

Какой дистрибутив и версия, в каких кейсах течёт sssd?

Имхо течёт много где, судя по мейллистам и багтрекерам.
Личный опыт - CentOS. Как начал течь в 7.0, так и течёт в 7.latest. Кейс - банальная AD аутентификация для входа в консоль. Течёт рандомно и судя по всему независимо от наличия консольных входов. На части машин протекал по мегабайту в неделю, на части - гиг за три дня. Пришлось выкинуть.

Уважаемые подскажите пожалуйста, кто-нибудь пробовал менять пароли через указанную уязвимость? Успех? И какой алгоритм действий?
Заранее спасибо.

И ключи от квартиры, да.

Окнорм, по существу ответ.
Пробовал хотя бы менять пароль?

А самому слабо, консоль далеко?