В предоставляемом в Samba LDAP-сервере с реализацией контроллера домена Active Director выявлена (https://lists.samba.org/archive/samba-announce/2018/000435.html) критическая уязвимость (https://wiki.samba.org/index.php/CVE-2018-1057) (CVE-2018-1057 (https://security-tracker.debian.org/tracker/CVE-2018-1057)), которая позволяет любому непривилегированному пользователю, авторизированному через LDAP, изменить пароль других пользователей, в том числе администраторов и привилегированных пользователей контроллера домена.
Проблеме подвержены все выпуски Samba 4.x. Уязвимость вызвана ошибкой в задании полномочий на смену пароля в AD. Право на смену пароля задаётся в AD как расширенный объект доступа, который по умолчанию предоставляет право смены пароля не только для объектов пользователя (self), но и для любых других объектов (world). Проблема проявляется только в Samba Active Directory DC и не проявляется в Samba3, доменах NT4, классических доменах и на файловых серверах.
Отследить недавние изменения паролей можно командой:
ldbsearch -H /usr/local/samba/private/sam.ldb objectclass=user pwdLastSet msDS-KeyVersionNumber
Для защиты без обновления можно использовать специально подготовленный скрипт samba_CVE-2018-1057_helper (https://download.samba.org/pub/samba/misc/samba_CVE-2018-105...), который позволяет отозвать у всех объектов пользователей, в том числе компьютеров пользователей, право смены паролей в контексте "world" и оставить только право смены собственного пароля. До установки обновления также можно временно запретить смену паролей, добавив в файл конфигурации smb.conf строку "check password script = /bin/false", или установив (https://wiki.samba.org/index.php/CVE-2018-1057#Setting_a_min...) минимальный размер пароля в максимально возможное значение (2 Гб).
Уязвимость устранена в выпусках Samba 4.8.0, 4.7.6, 4.6.14 и 4.5.16. Обновления пакетов с устранением уязвимости уже доступны в Debian (https://security-tracker.debian.org/tracker/CVE-2018-1057), FreeBSD (http://www.vuxml.org/freebsd/fb26f78a-26a9-11e8-a1c2-0050568...), Ubuntu (https://usn.ubuntu.com/3595-1/) и Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1554756). Исправление пока не выпущено для openSUSE (https://lists.opensuse.org/opensuse-security-announce/2018-03/). RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-1057) и SUSE Linux Enterprise (https://www.suse.com/security/cve/CVE-2018-1057/) проблеме не подвержены, так как не используют Samba 4 AD DC.
URL: https://lists.samba.org/archive/samba-announce/2018/000435.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=48261