openSUSE 15 セキュリティ更新：samba (openSUSE-SU-2021:3650-1)

high Nessus プラグイン ID 155191

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SUSE15ホストには、openSUSE-SU-2021:3650-1のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- 攻撃者は、ネゴシエートされた SMB1 クライアント接続とその機能をダウングレードする可能性があります。Kerberos 認証は、NT1 方言と拡張セキュリティ (spnego) 機能を使用する SMB2/3 プロトコルまたは SMB1 でのみ可能です。必須の SMB 署名なしで、プロトコルを CORE、COREPLUS/CORE+、LANMAN1 または LANMAN2 のような安全でない古い方言にダウングレードできます。SMB 署名が必要な場合でも、拡張セキュリティ (spnego) がネゴシエートされない場合は、NT1 方言にダウングレードすることが可能です。攻撃者は、Kerberos 認証が必要な場合でも、平文パスワードをネットワーク経由で送信することができます。この問題は、以下のすべてのオプションが明示的に一緒に設定されている場合にのみ可能です : client NTLMv2 auth = no client lanman auth = yes client plaintext auth = yes client min protocol = NT1 # またはそれ以前。現在サポートされているSambaバージョンでは、上記のオプションすべてに異なるデフォルト値があるため、問題が発生する可能性はほとんどありません。Samba 4.5以前では、ntlmv2、ntlm、または lanman の応答を送信するため、デフォルトの構成でも追加の問題がありました。これは、平文のパスワード、lmhash または nthash の値を復元するために、攻撃者がオフライン攻撃をできる可能性があることを意味します。SMB1/ 2/3 接続に Kerberos 認証を要求することは、以下のようなさまざまなツールの「-k」/「--kerberos」または「-k yes」/「--kerberos=yes」コマンドラインオプションで制御できます。smbclient、smbcquotas、smbcacls、net、rpcclient、samba-tool など。
注意 : 4.15は、「-k /--kerberos*」を廃止し、「--use-kerberos=required」コマンドラインオプションおよび smb.conf オプション client use kerberos = required を導入しました。libsmbclient ベースのアプリケーションの場合、Kerberos の使用は次の関数呼び出しによって制御されます。smbc_setOptionUseKerberos()、smbc_setOptionFallbackAfterKerberos() および smbc_setOptionNoAutoAnonymousLogin()。(CVE-2016-2124)

- Windows Active Directory (AD) ドメインには、ms-DS-MachineAccountQuota によって制御される、コンピューターアカウントの作成をユーザーに許可する機能がデフォルトであります。さらに、一部の (おそらく信頼される) ユーザーは、Samba ドメインと Windows Active Directory ドメインの両方で新しいユーザーまたはコンピューターを作成する権利を持っています。このようなアカウントを作成するユーザーは、単に作成してパスワードを設定するだけでなく、後で名前を変更する幅広い権限を持っており、唯一の制約は AD の既存の samAccountName と一致しない可能性だけであるため、これらの機能が悪意のあるユーザーの手に渡ると非常に危険です。AD ドメインメンバーとしての Samba が Kerberos チケットを受け入れる場合、Samba はそこにある情報をローカルの UNIX ユーザー ID (uid) にマッピングする必要があります。これは現在、Active Directory が生成した Kerberos Privileged Attribute Certificate (PAC) のアカウント名、またはチケットのアカウント名 (PAC がない場合) を介して行われます。たとえば、Samba は、フォールバックしてユーザーの user を探す前に、ユーザーの DOMAIN\user を見つけようとします。DOMAIN\user 検索が失敗する可能性がある場合、権限昇格が可能です。これを説明する最も簡単な例は、攻撃者が root という名前のアカウントを作成し (MachineAccountQuota ベースのマシンアカウントの名前を変更する)、Kerberos PAC なしでログインを要求する場合です。チケットを取得してからサーバーに提示するまでの間に、攻撃者はユーザーアカウントの名前を別の名前に変更します。Samba は DOMAIN\root の検索を試みますが、失敗し (これが存在しないため)、ユーザー root の検索にフォールバックします。これは 0 の特権 UNIX uid にマッピングされます。このパッチは、Samba を変更して、PAC (アクティブディレクトリドメインに関連するすべてのシナリオ) を要求し、PAC の SID とアカウント名の値を使用します。これは、組み合わせが同じ時点を表すことを意味します。処理は NTLM ベースのログインの場合と同様になりました。
SID は一意であり、繰り返されないため、別のユーザーと混同されることはありません。さらに、新しいパラメーターが min domain uid (デフォルト 1000) に追加され、プロセストークンで使用する UNIX uid を取得する方法 (最終的に /etc/passwd または同様のものを読み取る可能性があります) に関係なく、デフォルトでは以下の UNIX uid はありません。この値は受け入れられます。nss_winbind が使用される場合は危険であり、必要ないため (「winbind use default domain = yes」が設定されている場合でも) 、このパッチは「DOMAIN\user」から「user」へのフォールバックも削除します。
ただし、認証のためだけにアクティブディレクトリドメインに参加するセットアップがありますが、承認は、nss_file、nss_ldap、または類似のものによって提供されるローカルユーザーにドメインアカウントをマッピングすることで、nss_winbind なしで処理されます。注：これらのセットアップは、ユーザーを明示的にマッピングしないと機能しません。これらのセットアップでは、管理者はドメインユーザーをローカルユーザーに明示的にマッピングするために「ユーザー名マップ」または「ユーザー名マップスクリプト」オプションを使用する必要があります。例：user = DOMAIN\user 「username map」または「username map script」に関する詳細は「man 5 smb.conf」を参照してください。また、上記の例では、「\」は「winbindセパレーター」オプションのデフォルト値を参照しています。(CVE-2020-25717)

- Samba は DCE/RPCを実装しており、ほとんどの場合、「SMB署名」のような保護とともに、下層の SMB トランスポートにより提供および保護されています。ただし、大きな DCE/RPC リクエストペイロードが交換され、いくつかの断片にフラグメント化される場合もあります。これが信頼できないトランスポートで発生する場合 (例：
TCP/IP または匿名 SMB クライアントを介して直接 ) 、通常クライアントは、DCE/RPCレイヤーでの明示的な認証によって保護します (例：GSSAPI/Kerberos/NTLMSSP または Netlogon Secure Channel ) 。ヘッダーのポリシーコントロールと後続のフラグメントの間でフラグメント保護のチェックが行われなかったため、攻撃者がリクエスト内の後続のフラグメントを独自のデータで置換し、サーバーの動作を変更する可能性があります。DCE/RPC はすべての Samba サーバーのコアコンポーネントですが、集中的に信頼されているサービスとしての役割を考えると、ドメインコントローラーとしての Samba を最も懸念しています。アクティブディレクトリドメインコントローラーとして、この問題は Samba のバージョン 4.10.0以降に影響を与えます。NT4 クラシックドメインコントローラー、ドメインメンバー、またはスタンドアロンサーバーとして、この問題は Samba バージョン 4.13.0以上に影響します。(CVE-2021-23192)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。