Критическая уязвимость в Samba, позволяющая поменять пароль любого пользователя

14.03.2018 12:34

В предоставляемом в Samba LDAP-сервере с реализацией контроллера домена Active Directory выявлена критическая уязвимость (CVE-2018-1057), которая позволяет любому непривилегированному пользователю, авторизированному через LDAP, изменить пароль других пользователей, в том числе администраторов и привилегированных пользователей контроллера домена.

Проблеме подвержены все выпуски Samba 4.x. Уязвимость вызвана ошибкой в задании полномочий на смену пароля в AD. Право на смену пароля задаётся в AD как расширенный объект доступа, который по умолчанию предоставляет право смены пароля не только для объектов пользователя (self), но и для любых других объектов (world). Проблема проявляется только в Samba Active Directory DC и не проявляется в Samba3, доменах NT4, классических доменах и на файловых серверах.

Отследить недавние изменения паролей можно командой:


   ldbsearch -H /usr/local/samba/private/sam.ldb objectclass=user pwdLastSet msDS-KeyVersionNumber

Для защиты без обновления можно использовать специально подготовленный скрипт samba_CVE-2018-1057_helper, который позволяет отозвать у всех объектов пользователей, в том числе компьютеров пользователей, право смены паролей в контексте "world" и оставить только право смены собственного пароля. До установки обновления также можно временно запретить смену паролей, добавив в файл конфигурации smb.conf строку "check password script = /bin/false", или установив минимальный размер пароля в максимально возможное значение (2 Гб).

Уязвимость устранена в выпусках Samba 4.8.0, 4.7.6, 4.6.14 и 4.5.16. Обновления пакетов с устранением уязвимости уже доступны в Debian, FreeBSD, Ubuntu и Fedora. Исправление пока не выпущено для openSUSE. RHEL и SUSE Linux Enterprise проблеме не подвержены, так как не используют Samba 4 AD DC.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/48261-samba

Ключевые слова: samba

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (41)

1.1, Аноним (-), 12:48, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
только вчера в протоколе исправили уязвимости, и тут на опять вылезло.

2.3, пох (?), 12:53, 14/03/2018 [^] [^^] [^^^] [ответить]

+/–

ну а причем бы тут - протокол. Ляп не в протоколе, а в схеме.

(а жаль, прекрасно было бы такое же - во всех windows ad... любой компьютерный акаунт меняет все пароли, какие хочет ;-)

3.10, pavlinux (ok), 14:21, 14/03/2018 [^] [^^] [^^^] [ответить]	+3 +/–
Ты пропустил предыдущие 25 лет Виндуза, там не пароли, там через АД БИОС коллективно прошивали.

3.11, EHLO (?), 14:24, 14/03/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Зачем так сложно? На, выбирай https://www.cvedetails.com/vulnerability-list/vendor_id-26/opec-1/Microsoft.ht

3.28, Аноним (-), 21:50, 14/03/2018 [^] [^^] [^^^] [ответить]	+/–
> (а жаль, прекрасно было бы такое же - во всех windows ad... > любой компьютерный акаунт меняет все пароли, какие хочет ;-) Если атакующий получил администратора или system на домен контроллере, в принципе AD полный песец. Собственно comodohacker как-то наподобие и вынес diginotar'а. Им после этого только и оставалось что фирму закрыть - после такого расклада все компьютеры фирмы следует считать похакаными.

1.2, Аноним (-), 12:48, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В Red Hat как чувствовали, отказываясь делать AD DC на ] Samba.

2.4, redgad (?), 13:05, 14/03/2018 [^] [^^] [^^^] [ответить]

+1 +/–

> В Red Hat как чувствовали, отказываясь делать AD DC на ] Samba.

мы _знали_
(не про саму уязвимость, конечно, а про то, какими руками четвертая самба написана)

3.5, Аноним (-), 13:28, 14/03/2018 [^] [^^] [^^^] [ответить]	+2 +/–
Что, их Лёня тоже участвовал?

4.6, Аноним (-), 13:50, 14/03/2018 [^] [^^] [^^^] [ответить]	+5 +/–
Лёня пишет альтернативу samba и встраивает её в systemd.

5.7, Аноним (-), 14:07, 14/03/2018 [^] [^^] [^^^] [ответить]	+/–
>Лёня пишет альтернативу samba и встраивает её в systemd. symbad ?

6.8, Аноним (-), 14:14, 14/03/2018 [^] [^^] [^^^] [ответить]	+/–
>>Лёня пишет альтернативу samba и встраивает её в systemd. > symbad ? systemd-symbadd

6.13, Anonymouse (?), 15:04, 14/03/2018 [^] [^^] [^^^] [ответить]	+14 +/–
symbad-morehod

5.9, kvaps (ok), 14:17, 14/03/2018 [^] [^^] [^^^] [ответить]	+/–
Вообще там FreeIPA который на 386ds построен

5.17, Нанобот (ok), 16:35, 14/03/2018 [^] [^^] [^^^] [ответить]	+/–
наконец-то в линуксе появится нормальный файлсервер!

1.14, Аноним (-), 15:18, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	–6 +/–
NFS не быстрее и безопаснее будет?

2.15, pavlinux (ok), 15:45, 14/03/2018 [^] [^^] [^^^] [ответить]	+4 +/–
> NFS не быстрее и безопаснее будет? Шёл мимо? ... ди.

2.19, Вимя (?), 17:04, 14/03/2018 [^] [^^] [^^^] [ответить]	–2 +/–
NFS мёртв

3.23, Аноним (-), 18:09, 14/03/2018 [^] [^^] [^^^] [ответить]	+/–
afp тоже мертв, apple перешел на SMB

2.27, Аноним (-), 21:42, 14/03/2018 [^] [^^] [^^^] [ответить]	+1 +/–
> NFS не быстрее и безопаснее будет? Чем LDAP с реализацией AD? Ну даже и не знаю.

2.30, Анонри (?), 22:12, 14/03/2018 [^] [^^] [^^^] [ответить]	+/–
не быстрее и не безопаснее даже по сравнению с smb =) Там вообще разграничения прав доступа нет или прикручивается костылем. Странно, что никто не юморит по поводу очередной элементарной дыры в открытом заменителе чего-то виндового, а случись такое в винде...

3.33, Аноним (-), 12:08, 15/03/2018 [^] [^^] [^^^] [ответить]	+/–
Как раз не странно. Одни в своём глазу бревна не замечают. Другие уже выросли из опеннетной клоунады, которую ты называешь юмором.

1.16, Аноним (-), 16:10, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Спасибо за ответ, это очень ценная информация )

1.18, Мишаня Роялефил (?), 17:02, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
опять гениальные С программисты так сильно концентрировались на сегментации и указателях, что забыли думать головой!

2.22, Аноним (-), 17:44, 14/03/2018 [^] [^^] [^^^] [ответить]	+3 +/–
Гениальным питон-программистам отсутствие указателей не мешает делать аналогичные ляпы.

3.34, Аноним (-), 12:10, 15/03/2018 [^] [^^] [^^^] [ответить]	+/–
> Гениальным питон-программистам отсутствие указателей не мешает делать аналогичные ляпы. А гениальным go- или, скажем, java-программистам что-то мешает делать аналогичные ляпы?

4.39, ТОТ КТО НАДО (?), 17:42, 15/03/2018 [^] [^^] [^^^] [ответить]	+/–
>> Гениальным питон-программистам отсутствие указателей не мешает делать аналогичные ляпы. > А гениальным go- или, скажем, java-программистам что-то мешает делать аналогичные ляпы? отсутствие ненужной функциональности и присутствие нужной. - очевидно же!

5.40, EHLO (?), 17:58, 15/03/2018 [^] [^^] [^^^] [ответить]	+/–
>>> Гениальным питон-программистам отсутствие указателей не мешает делать аналогичные ляпы. >> А гениальным go- или, скажем, java-программистам что-то мешает делать аналогичные ляпы? > отсутствие ненужной функциональности и присутствие нужной. - очевидно хорошим танцорам отсутствие ненужной функциональности мешает плохо танцевать

1.24, Hellraiser (??), 20:39, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> которая позволяет любому непривилегированному пользователю, авторизированному через LDAP, изменить пароль других пользователей, в том числе администраторов и привилегированных пользователей контроллера домена это просто праздник какой-то (с)

1.25, Аноним (-), 20:56, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Ух ты! "А можно я стану директором этой фирмы?"

2.45, Аноним (-), 07:21, 18/03/2018 [^] [^^] [^^^] [ответить]	+/–
К сожалению, пока только этой фирмы. Уязвимость локальная в рамках только вашей компании )

1.29, Аноним (-), 22:08, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> ...или установив минимальный размер пароля в максимально возможное значение (2 Гб) Почему 2 Гб? Обычно размер пароля задается в кубических метрах или на худой конец в футах за секунду.

2.35, Аноним (-), 12:12, 15/03/2018 [^] [^^] [^^^] [ответить]	+/–
> Почему 2 Гб? Обычно размер пароля задается в кубических метрах или на > худой конец в футах за секунду. В военное время пароль, как и число Пи, может достигать любой величины по усмотрению главнокомандующего.

1.31, Сергей (??), 23:55, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
интересно, а чем обычный лдап самбоцев не удовлетворил... Впрочем, это обычная тактика гпл-ков, изобретать велосипед...

2.36, Аноним (-), 12:13, 15/03/2018 [^] [^^] [^^^] [ответить]	+/–
В том и проблема, что обычного нет, а есть зоопарк ldap. И все необычные.

1.32, anomymous (?), 09:14, 15/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Плджад, вот что связано с инженерингом от мс и около - это тотальная труба. Даже опенсорс. openldap - монструозный багодром, в samba - дыра за дырой, sssd течёт в разных местах, как проклятый.

2.37, Аноним (-), 12:16, 15/03/2018 [^] [^^] [^^^] [ответить]

+/–

> sssd течёт в разных местах, как проклятый.

С этого места пожалуйста поподобней. (с) Давно присматриваюсь к нему, но гложут сомнения.

Какой дистрибутив и версия, в каких кейсах течёт sssd?

3.41, anomymous (?), 08:17, 16/03/2018 [^] [^^] [^^^] [ответить]	+/–
Имхо течёт много где, судя по мейллистам и багтрекерам. Личный опыт - CentOS. Как начал течь в 7.0, так и течёт в 7.latest. Кейс - банальная AD аутентификация для входа в консоль. Течёт рандомно и судя по всему независимо от наличия консольных входов. На части машин протекал по мегабайту в неделю, на части - гиг за три дня. Пришлось выкинуть.

1.38, masyadm (?), 15:33, 15/03/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Уважаемые подскажите пожалуйста, кто-нибудь пробовал менять пароли через указанную уязвимость? Успех? И какой алгоритм действий? Заранее спасибо.

2.42, anomymous (?), 08:19, 16/03/2018 [^] [^^] [^^^] [ответить]	+/–
И ключи от квартиры, да.

3.43, masyadm (?), 09:20, 16/03/2018 [^] [^^] [^^^] [ответить]	+/–
Окнорм, по существу ответ. Пробовал хотя бы менять пароль?

4.44, count0krsk (ok), 15:54, 17/03/2018 [^] [^^] [^^^] [ответить]	+/–
А самому слабо, консоль далеко?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: