CVE-2020-25717 - лог назад

CVE-2020-25717 создано 09 ноя 2021 10:13:13
Уровень
+ Средний
Удалённо
+ Удаленный
Тип
+ Повышение привилегий
Описание
+ Проблема безопасности обнаружена в Samba версий от 3.0.0 до 4.15.1. Samba может нежелательным образом сопоставлять пользователей домена с локальными.
Рекомендации
+ https://www.samba.org/samba/security/CVE-2020-25717.html
+ https://www.samba.org/samba/ftp/patches/security/samba-4.15.1-security-2021-11-09.patch
Примечания
+ Обходной путь
+ ==========
+
+ Установка "gensec: require_pac = true" в smb.conf делает поиск DOMAIN \ user успешным из-за заполнения кеша в winbind, при условии, что nss_winbind используется и пути ошибок не обнаружены.
+
+ Было бы разумно заранее создать отключенных пользователей в сопоставлении Active Directory для всех привилегированных имен, не содержащихся в Active Directory, например
+
+ samba-tool user add root -H ldap://$SERVER -U$USERNAME%$PASSWORD --random-password
+ samba-tool user add ubuntu -H ldap://$SERVER -U$USERNAME%$PASSWORD --random-password
+ ...
+
+ (повторить, например, для всех системных пользователей младше 1000 в /etc/passwd или специальных для любых других служб, подключенных к AD, например, возможно, «admin» для веб-приложения)
+
+ По возможности также рекомендуется установить для ms-DS-MachineAccountQuota значение 0 в домене Active Directory.
+
+ Следующие настройки могут быть дополнительными средствами защиты (но они еще не были явно проверены):
+
+ 1. Использование опции «недопустимые пользователи», обратите внимание, что это необходимо указать в разделе [global], а также в каждом общем ресурсе с существующей опцией «недопустимые пользователи», например:
+
+ invalid users = root, ubuntu
+
+ 2. Использование «obey pam sizes = yes» вместе с чем-то вроде «account required pam_succeed_if.so quiet uid> = 1000» в конфигурации pam для «samba», обратитесь к «man 8 pam_succeed_if».
© UBLinux. Все права защищены. Разработка и дизайн UB Group.