リモートの Ubuntu 20.04 LTS / 22.04 LTS / 23.04 ホストには、USN-6425-1 のアドバイザリに記載されてた複数の脆弱性の影響を受けるパッケージがインストールされています。

  - SMB プロトコルを使用すると、クライアントが読み取り専用アクセスをリクエストしたファイルを開くことは許可するが、クライアントが別途 OVERWRITE create disposition を指定した場合には、開いたファイルを暗黙的に切り捨てることができます。この操作には、ファイルへの書き込みアクセスが必要です。デフォルトの Samba 設定では、オペレーティングシステムのカーネルは、読み取り/書き込み (切り捨て操作に必要) を行うために読み取り専用ファイルを開くことを拒否します。ただし、Samba がカーネルファイルシステムのアクセス許可を無視するように設定されている場合は、基盤となるオペレーティングシステムカーネルが操作を拒否した場合、Samba はファイルを切り捨てます。影響を受ける Samba 設定は、カーネルファイルシステムのアクセス許可チェックがバイパスされ、Samba 自身が適用するアクセス許可を利用する設定です。
    エラーは、このチェックがクライアントによる読み取り専用アクセスのリクエストに対して行われ、暗黙的な (切り捨てのための) 読み取り/書き込みリクエストに対しては行われないことです。広く使用されている Samba VFS モジュール acl_xattr に、モジュール設定パラメーター acl_xattr: ignore system acls = yes が設定されている場合、これはこの動作を許可する唯一の upstream Samba モジュールであり、このセキュリティの欠陥を再現できる唯一の既知の方法です。(デフォルトのとおりに) モジュール設定パラメーター acl_xattr: ignore system acls=no を使用した場合は、Samba サーバーはこの攻撃に対して脆弱ではありません。(CVE-2023-4091)

  - 通常の操作では、パスワードと (ほとんどの) シークレットは Active Directory で LDAP を介して漏洩することはありません。
    しかし、Samba の DirSync コントロールの実装における設計の欠陥が原因で、機密属性を除いて複製を許可されている Active Directory アカウントが、重要なドメインパスワードとシークレットを複製できます。デフォルトのインストールでは、これは RODC DC アカウント (一部のパスワードの複製のみが許可されているはずのアカウント) が、コア AD シークレットである krbtgt パスワードを含む、すべてのドメインシークレットを取得できることを意味します。RODC には、DRS レプリケーションのインストールの一環としてこのアクセス許可が付与されます。この脆弱性により、RODC と DC が区別されなくなります。次に、先ほどの問題と同じくらい深刻な問題として、この機能のアクセスチェックではエラー状態が考慮されないことがあります。メモリ不足などのエラーは成功と見なされます。この状況はフェールオープンとも呼ばれます。このようなエラー状態の一部 (メモリ不足など) を権限の低い攻撃者が悪用することで、秘密属性にアクセスできる可能性があります。(CVE-2023-4154)

  - Samba 開発者は、Samba DCE および RPC スタックの要素を完全なコントロール下でテストするための、rpcecho という名前の非 Windows RPC サーバーを構築しました。rpcecho が提供するある RPC 関数が、実質上無限にブロックされる可能性があります。rpcecho サービスは、ワーカーを 1 つしか持たないメイン RPC タスクから提供されるので、これは実質的に AD DC 上のすべてのサービスを拒否することになります。この問題に対処するために、rpcecho サーバーは本番バイナリから削除され、セルフテストビルドのみに制限されています。(CVE-2023-42669)

  - Active Directory DC である Samba は、コードベースの 2 つの異なる部分から RPC サービスを操作します。AD DC を対象とするこれらのサービスは、メイン Samba プロセスから起動されます。一方、ファイルサーバーや NT4 に類似の DC を対象とするサービスは、新しい samba-dcerpcd から起動されます。samba-dcerpcd は、ファイルサーバー (smbd) タスクからオンデマンドで起動されます。samba-dcerpcd は起動するとまず、リスナーの重複を防ぐために、提供しないサービスはどれかを確認する必要があります。このアドバイザリの問題は、Samba の RPC サーバーに負荷がかかっているか、その他の理由で応答していない場合、AD DC 用に構築されていないサーバー (つまり、NT4 エミュレーションの従来の DC 用に構築されているサーバー) が誤って起動し、同じ unix ドメインソケットのリッスンを完了する可能性があるということです。この場合、AD DC が応答するクエリと、応答しないクエリが生じます。これは、本番環境の複数のサイトで観察されています。なぜなら、Active Directory ユーザーとコンピューターツールの起動時には、プロシージャ番号が範囲外であるためです。しかし、AD DC でサービスが起動されないようにするために、悪意をもってトリガーすることもできます。
    (CVE-2023-42670)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Ubuntu 20.04 LTS / 22.04 LTS / 23.04 : Samba の脆弱性 (USN-6425-1 )

medium Nessus プラグイン ID 182845

バージョン 1.7