GLSA-202309-06：Samba：多個弱點

critical Nessus Plugin ID 181514

語系：

說明

遠端主機受到 GLSA-202309-06 中所述的弱點影響 (Samba：多個弱點)

- 在 Python 的 tarfile 模組中，(1) extract 和 (2) extractall 函式存在目錄遊走弱點，由使用者協助的遠端攻擊者可以透過 TAR 封存中檔案名稱中的 .. (點點) 序列覆寫任意檔案，此問題與 CVE-2001-1267 有關。(CVE-2007-4559)

- 在 samba 實作 SMB1 驗證的方式中發現一個缺陷。即使需要進行 Kerberos 驗證，攻擊者仍可利用此缺陷擷取透過連線傳送的純文字密碼。
(CVE-2016-2124)

- Kerberos 安全性功能繞過弱點 (CVE-2020-17049)

- 在 Samba 將網域使用者對應至本機使用者的方式中發現一個缺陷。經過驗證的攻擊者可能利用此缺陷，造成權限提升。(CVE-2020-25717)

- 在 samba (作為 Active Directory 網域控制器) 支援 RODC (唯讀網域控制器) 的方式中發現一個缺陷。這將允許 RODC 列印系統管理員票證。(CVE-2020-25718)

- 在 Samba (作為 Active Directory 網域控制器) 實作 Kerberos 名稱型驗證的方式中發現一個缺陷。如果 Samba AD DC 不嚴格要求 Kerberos PAC 且一律使用其中找到的 SID，則其可能會混淆票證所代表的使用者。最終可能造成整個網域遭到入侵。(CVE-2020-25719)

- Kerberos 接收器需要容易存取穩定的 AD 識別碼 (例如 objectSid)。Samba 作為 AD DC，現在為 Linux 應用程式在發出的票證中取得可靠 SID (和 samAccountName) 提供了方法。
(CVE-2020-25721)

- 在 samba AD DC 實作已儲存資料之存取和一致性檢查的方式中發現多個缺陷。攻擊者可利用此缺陷造成網域受到全面入侵。(CVE-2020-25722)

- Samba AD DC LDAP 中不接受 MaxQueryDuration (CVE-2021-3670)

- 在 DCE/RPC 中，可以透過稱為「關聯群組」的機制，在多個連線之間共用控制代碼 (資源狀態的 cookie)。這些控制代碼可參照 sam.ldb 資料庫的連線。不過，雖然可以正確共用資料庫，但只會指向使用者憑證狀態，並且當該關聯群組內的一個連線結束時，資料庫仍會指向無效的「struct session_info」。此時最有可能的結果是當機，但釋放後使用可能反而允許指向不同的使用者狀態，而這可能允許更多的權限存取。(CVE-2021-3738)

- 在 samba 中發現一個瑕疵。如果符合特殊條件，密碼鎖定程式碼中的爭用情形可能會成功觸發暴力密碼破解攻擊。(CVE-2021-20251)

- 在 samba 處理檔案和目錄中繼資料的方式中發現一個缺陷。此缺陷允許具有讀取或修改共用中繼資料權限的經驗證的攻擊者在共用範圍以外執行此作業。(CVE-2021-20316)

- 在 samba 實作 DCE/RPC 的方式中發現一個缺陷。如果 Samba 伺服器的用戶端傳送了非常大的 DCE/RPC 要求，並選擇對其進行分割，則攻擊者可以用自己的資料取代後來的片段，進而繞過簽章要求。(CVE-2021-23192)

- 4.15.5 之前的所有 Samba 版本都容易受到惡意用戶端攻擊，該用戶端會使用伺服器符號連結來確定文件或目錄是否存在於未在共享定義下導出的伺服器檔案系統區域中。必須啟用具有 unix 延伸模組的 SMB1，此攻擊才能成功。
(CVE-2021-44141)

- Samba vfs_fruit 模組使用延伸檔案屬性 (EA、xattr) 提供與 Apple SMB 用戶端的增強相容性，以及與 Netatalk 3 AFP 檔案伺服器的互通性。已設定 vfs_fruit 的 Samba 4.13.17、 4.14.12 和 4.15.5 更早版本允許透過特製的延伸檔案屬性進行超出邊界堆積讀取和寫入。具有延伸檔案屬性寫入存取權的遠端攻擊者可以 smbd 權限 (通常是 root 權限) 執行任意程式碼。(CVE-2021-44142)

- 將服務主體名稱 (SPN) 新增至帳戶時，Samba AD DC 包含檢查，以確保 SPN 不會與資料庫中已有的別名相同。如果在修改帳戶時重新新增了先前存在於該帳戶上的 SPN，例如在電腦加入網域時新增的一個 SPN，則可以繞過其中一些檢查。能夠寫入帳戶的攻擊者可利用此弱點，藉由新增與現有服務相符的 SPN 來發動拒絕服務攻擊。此外，能夠攔截流量的攻擊者可模擬現有服務，進而破壞機密性和完整性。(CVE-2022-0336)

- 在 Samba 中，GnuTLS gnutls_rnd() 可能會失敗並提供可預測的隨機值。(CVE-2022-1615)

- 在 Samba 中發現一個缺陷。當 KDC 和 kpasswd 服務共用單一帳戶和一組金鑰時，會發生安全性弱點，它們可以解密彼此的票證。被要求變更密碼的使用者可惡意利用此瑕疵，取得並使用其他服務的票證。
(CVE-2022-2031)

- 在 Heimdal 的 GSSAPI unwrap_des() 和 unwrap_des3() 常式內，在 Samba 中發現一個堆積型緩衝區溢位弱點。在 Heimdal GSSAPI 程式庫中的 DES 和 Triple-DES 解密常式中，若在執行長度受限的寫入時隨附惡意小封包，malloc() 配置的記憶體會發生堆積型緩衝區溢位。此缺陷允許遠端使用者向應用程式傳送特製的惡意資料，從而可能造成拒絕服務 (DoS) 攻擊。(CVE-2022-3437)

- 在 Samba 中發現伴隨符號連結產生的弱點，使用者可建立符號連結，使「smbd」逸出設定的共用路徑。可以透過 SMB1 unix 延伸模組或 NFS 存取檔案系統匯出部分的遠端使用者可利用此缺陷在「smbd」設定的共用路徑之外建立檔案符號連結，並取得另一個受限伺服器上檔案系統的存取權。
(CVE-2022-3592)

- 在 Samba 中發現一個缺陷。程式未針對某些 SMB1 寫入要求執行正確的範圍檢查，以確保用戶端已傳送足夠的資料來完成寫入，這允許使用者將伺服器記憶體內容寫入檔案 (或印表機)，而非用戶端提供的資料。用戶端無法控制寫入檔案 (或印表機) 的伺服器記憶體區域。(CVE-2022-32742)

- Samba 未驗證 dNSHostName 屬性的 Validated-DNS-Host-Name 權限，從而允許無權限的使用者寫入此屬性。(CVE-2022-32743)

- 在 Samba 中發現一個缺陷。KDC 接受使用其已知的任何金鑰加密的 kpasswd 要求。使用者可藉由使用自己的金鑰加密偽造的 kpasswd 要求，來變更其他使用者的密碼，進而接管整個網域。(CVE-2022-32744)

- 在 Samba 中發現一個缺陷。Samba AD 使用者可透過 LDAP 新增來造成伺服器存取未初始化的資料或是修改要求，這通常會導致區段錯誤。(CVE-2022-32745)

- 在 Samba AD LDAP Server 中發現一個缺陷。AD DC 資料庫稽核記錄模組可存取先前資料庫模組所釋放的 LDAP 訊息值，從而導致釋放後使用問題。只有在修改特定的權限屬性 (例如 userAccountControl) 時，才可能發生此問題。(CVE-2022-32746)

- Windows Kerberos RC4-HMAC 存在權限提升弱點 (CVE-2022-37966)

- Windows Kerberos 存在權限提升弱點 (CVE-2022-37967)

- Netlogon RPC 的權限提升弱點。(CVE-2022-38023)

- 在 1.19.4 之前的 MIT Kerberos 5 (即 krb5) 版和 1.20.1 之前的 1.20.x 中，PAC 剖析存在整數溢位弱點，此弱點可能會在 32 位元平台 (在 KDC、kadmind 或 GSS 或 Kerberos 應用程式伺服器中) 上執行遠端程式碼 (導致堆積型緩衝區溢位)，並在其他平台上造成拒絕服務。這種情況會發生在 lib/krb5/krb/pac.c 的 krb5_pac_parse 中。7.7.1 之前的 Heimdal 也有類似的錯誤。
(CVE-2022-42898)

- 由於 Microsoft 於 2022 年 11 月 8 日披露 Windows Kerberos RC4-HMAC 權限提升弱點，並根據 RFC8429 假設 rc4-hmac 較弱，儘管目標伺服器支援更好的加密 (例如 aes256-cts-hmac-sha1-96)，但有弱點的 Samba Active Directory DC 仍會發出 rc4-hmac 加密票證。(CVE-2022-45141)

- 在 Samba 中發現一個缺陷。dnsHostName 上的存取檢查不完整，這允許經驗證但無權限的使用者從目錄中的任何物件中刪除此屬性。(CVE-2023-0225)

- 4.6.16、4.7.9、4.8.4 和 4.9.7 版中針對 CVE-2018-10919 (透過 LDAP 篩選器造成機密屬性洩漏) 的修正不充分，攻擊者有可能從 Samba AD DC 取得機密的 BitLocker 復原金鑰。(CVE-2023-0614)

- Samba AD DC 管理工具針對遠端 LDAP 伺服器作業時，預設會透過僅限簽署的連線傳送新密碼或重設密碼。(CVE-2023-0922)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。