検出

openSUSE 15 セキュリティ更新:samba(openSUSE-SU-2021:3674-1)

high Nessus プラグイン ID 155381

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SUSE15ホストには、openSUSE-SU-2021:3674-1のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - 攻撃者は、ネゴシエートされた SMB1 クライアント接続とその機能をダウングレードする可能性があります。Kerberos 認証は、NT1 方言と拡張セキュリティ (spnego) 機能を使用する SMB2/3 プロトコルまたは SMB1 でのみ可能です。必須の SMB 署名なしで、プロトコルを CORE、COREPLUS/CORE+、LANMAN1 または LANMAN2 のような安全でない古い方言にダウングレードできます。SMB 署名が必要な場合でも、拡張セキュリティ (spnego) がネゴシエートされない場合は、NT1 方言にダウングレードすることが可能です。攻撃者は、Kerberos 認証が必要な場合でも、平文パスワードをネットワーク経由で送信することができます。この問題は、以下のすべてのオプションが明示的に一緒に設定されている場合にのみ可能です : client NTLMv2 auth = no client lanman auth = yes client plaintext auth = yes client min protocol = NT1 # またはそれ以前。現在サポートされているSambaバージョンでは、上記のオプションすべてに異なるデフォルト値があるため、問題が発生する可能性はほとんどありません。Samba 4.5 以前では、ntlmv2、ntlm、または lanman の応答を送信するため、デフォルトの構成でも追加の問題がありました。これは、平文のパスワード、lmhash または nthash の値を復元するために、攻撃者がオフライン攻撃をできる可能性があることを意味します。SMB1/ 2/3 接続に Kerberos 認証を要求することは、以下のようなさまざまなツールの「-k」/「--kerberos」または「-k yes」/「--kerberos=yes」コマンドラインオプションで制御できます。smbclient、smbcquotas、smbcacls、net、rpcclient、samba-tool など。
 注意 : 4.15 は、「-k /--kerberos*」を廃止し、「--use-kerberos=required」コマンドラインオプションおよび smb.conf オプション client use kerberos = required を導入しました。libsmbclient ベースのアプリケーションの場合、Kerberos の使用は次の関数呼び出しによって制御されます。smbc_setOptionUseKerberos()、smbc_setOptionFallbackAfterKerberos() および smbc_setOptionNoAutoAnonymousLogin()。(CVE-2016-2124)

 - Windows Active Directory (AD) ドメインには、ms-DS-MachineAccountQuota によって制御される、コンピューターアカウントの作成をユーザーに許可する機能がデフォルトであります。さらに、一部の(おそらく信頼される)ユーザーは、Samba ドメインと Windows Active Directory ドメインの両方で新しいユーザーまたはコンピューターを作成する権利を持っています。このようなアカウントを作成するユーザーは、単に作成してパスワードを設定するだけでなく、後で名前を変更する幅広い権限を持っており、唯一の制約は AD の既存の samAccountName と一致しない可能性だけであるため、これらの機能が悪意のあるユーザーの手に渡ると非常に危険です。AD ドメインメンバーとしての Samba が Kerberos チケットを受け入れる場合、Samba はそこにある情報をローカルの UNIX ユーザー ID (uid) にマッピングする必要があります。これは現在、Active Directory が生成した Kerberos Privileged Attribute Certificate (PAC) のアカウント名、またはチケットのアカウント名 (PAC がない場合) を介して行われます。たとえば、Samba は、フォールバックしてユーザーの user を探す前に、ユーザーの DOMAIN\user を見つけようとします。DOMAIN\user 検索が失敗する可能性がある場合、権限昇格が可能です。これを説明する最も簡単な例は、攻撃者が root という名前のアカウントを作成し (MachineAccountQuota ベースのマシンアカウントの名前を変更する)、Kerberos PAC なしでログインを要求する場合です。チケットを取得してからサーバーに提示するまでの間に、攻撃者はユーザーアカウントの名前を別の名前に変更します。Samba は DOMAIN\root の検索を試みますが、失敗し (これが存在しないため)、ユーザー root の検索にフォールバックします。これは 0 の特権 UNIX uid にマッピングされます。このパッチは、Samba を変更して、PAC (アクティブディレクトリドメインに関連するすべてのシナリオ) を要求し、PAC の SID とアカウント名の値を使用します。これは、組み合わせが同じ時点を表すことを意味します。処理は NTLM ベースのログインの場合と同様になりました。
 SID は一意であり、繰り返されないため、別のユーザーと混同されることはありません。さらに、新しいパラメーターが min domain uid (デフォルト 1000) に追加され、プロセストークンで使用する UNIX uid を取得する方法 (最終的に /etc/passwd または同様のものを読み取る可能性があります) に関係なく、デフォルトでは以下の UNIX uid はありません。この値は受け入れられます。nss_winbind が使用される場合は危険であり、必要ないため(「winbind use default domain = yes」が設定されている場合でも)、このパッチは「DOMAIN\user」から「user」へのフォールバックも削除します。
 ただし、認証のためだけにアクティブディレクトリドメインに参加するセットアップがありますが、承認は、nss_file、nss_ldap、または類似のものによって提供されるローカルユーザーにドメインアカウントをマッピングすることで、nss_winbind なしで処理されます。注:これらのセットアップは、ユーザーを明示的にマッピングしないと機能しません。これらのセットアップでは、管理者はドメインユーザーをローカルユーザーに明示的にマッピングするために「ユーザー名マップ」または「ユーザー名マップスクリプト」オプションを使用する必要があります。例:user = DOMAIN\user 「username map」または「username map script」に関する詳細は「man 5 smb.conf」を参照してください。また、上記の例では、「\」は「winbind セパレーター」オプションのデフォルト値を参照しています。[2021 年 11 月 11 日追加] 残念ながら、= no が winbindd の起動を防止する信頼できるドメインを許可する回帰があります。修正は https://bugzilla.samba.org/show_bug.cgi?id=14899 で利用可能です。「username map [script]」ベースの「DOMAIN\user」から「user」へのフォールバックに対する追加の修正と高度な例にも注意してください。 https://bugzilla.samba.org/show_bug.cgi?id=14901 および https://gitlab.com/samba-team/samba/-/merge_requests/2251 を参照してください (CVE-2020-25717)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.suse.com/1014440

https://bugzilla.suse.com/1192284

http://www.nessus.org/u?1764e46f

https://www.suse.com/security/cve/CVE-2016-2124

https://www.suse.com/security/cve/CVE-2020-25717

プラグインの詳細

深刻度: High

ID: 155381

ファイル名: openSUSE-2021-3674.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2021/11/17

更新日: 2022/2/28

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: High

基本値: 8.5

現状値: 6.3

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N

CVSS スコアのソース: CVE-2020-25717

CVSS v3

リスクファクター: High

基本値: 8.1

現状値: 7.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:libsamba-policy-python-devel, p-cpe:/a:novell:opensuse:libsamba-policy0, p-cpe:/a:novell:opensuse:libsamba-policy0-32bit, p-cpe:/a:novell:opensuse:samba-libs-python, p-cpe:/a:novell:opensuse:samba-libs-python-32bit, p-cpe:/a:novell:opensuse:samba-python, cpe:/o:novell:opensuse:15.3

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/11/16

脆弱性公開日: 2021/11/9

参照情報

CVE: CVE-2016-2124, CVE-2020-25717