CVE-2020-25717 лог

Источники
Уровень Средний
Удалённо Да
Тип Повышение привилегий
Описание
Проблема безопасности обнаружена в Samba версий от 3.0.0 до 4.15.1. Samba может нежелательным образом сопоставлять пользователей домена с локальными.
Группа Пакет Затронуто Исправлено Уровень Статус Тикет
AVG-27 samba 4.15.1-1 4.15.2-1 Средний Исправлено
Решение
https://www.samba.org/samba/security/CVE-2020-25717.html
https://www.samba.org/samba/ftp/patches/security/samba-4.15.1-security-2021-11-09.patch
Примечание
Обходной путь
==========

Установка "gensec: require_pac = true" в smb.conf делает поиск DOMAIN \ user успешным из-за заполнения кеша в winbind, при условии, что nss_winbind используется и пути ошибок не обнаружены.

Было бы разумно заранее создать отключенных пользователей в сопоставлении Active Directory для всех привилегированных имен, не содержащихся в Active Directory, например

 samba-tool user add root -H ldap://$SERVER -U$USERNAME%$PASSWORD --random-password
 samba-tool user add ubuntu -H ldap://$SERVER -U$USERNAME%$PASSWORD --random-password
 ...

(повторить, например, для всех системных пользователей младше 1000 в /etc/passwd или специальных для любых других служб, подключенных к AD, например, возможно, «admin» для веб-приложения)

По возможности также рекомендуется установить для ms-DS-MachineAccountQuota значение 0 в домене Active Directory.

Следующие настройки могут быть дополнительными средствами защиты (но они еще не были явно проверены):

1. Использование опции «недопустимые пользователи», обратите внимание, что это необходимо указать в разделе [global], а также в каждом общем ресурсе с существующей опцией «недопустимые пользователи», например:

   invalid users = root, ubuntu

2. Использование «obey pam sizes = yes» вместе с чем-то вроде «account required pam_succeed_if.so quiet uid> = 1000» в конфигурации pam для «samba», обратитесь к «man 8 pam_succeed_if».
© UBLinux. Все права защищены. Разработка и дизайн UB Group.