リモートホストにインストールされている samba のバージョンは 4.18.8 / 4.19.1 より前のです。したがって、SSA:2023-284-03 のアドバイザリに記載されている脆弱性の影響を受けます。

  - SMB 1/2/3 プロトコルによりクライアントは、SMB クライアントおよびサーバー間のプロセス間通信プロセス用の IPC$ (プロセス間通信) 共有を介して名前付きパイプに接続できます。Samba 4.16.0 以降、Samba はプライベートディレクトリ内でクライアントパイプ名を unix ドメインソケットに内部で接続し、クライアントがそれらのソケットをリッスンしているサービスに接続できるようにします。これは通常、SAMR LSA や SPOOLSS などの Samba がオンデマンドで起動するリモートプロシージャコール (RPC) サービスに SMB クライアントを接続するために使用されます。
    しかし、着信クライアントパイプ名に対するサニタイズが不十分でした。これは、unix ディレクトリトラバーサル文字 (../) を含むパイプ名を送信するクライアントによって、クライアントが接続できるサービスを制限するためのプライベートディレクトリの外側にある unix ドメインソケットに Samba が接続できるようになる可能性があることを意味します。Samba は unix ドメインソケットに root として接続します。つまり、クライアントが既存の unix ドメインソケットを使用して外部サービスに解決されたパイプ名を送信できる場合、そのクライアントはアクセスを制限しているファイルシステムのアクセス許可を持っていなくても、そのサービスに接続できるということです。クライアントが接続できるサービスによっては、クライアントはサービス拒否やサービスのクラッシュといった悪質なイベントをトリガーし、サービスを危険にさらす可能性があります。現在、このバグに対する既知のエクスプロイトはありません。(CVE-2023-3961)

  - SMB プロトコルを使用すると、クライアントが読み取り専用アクセスをリクエストしたファイルを開き、クライアントが別途 OVERWRITE create disposition を指定した場合には、開いたファイルを暗黙的に切り捨てることができます。この操作には、ファイルへの書き込みアクセスが必要です。デフォルトの Samba 設定では、オペレーティングシステムのカーネルは、読み取り専用ファイルを読み取り/書き込み (切り捨て操作に必要) のために開くアクセスを拒否します。ただし、Samba がカーネルファイルシステムのアクセス許可を無視するように設定されている場合は、基盤となるオペレーティングシステムカーネルが操作を拒否するときに、Samba がファイルを切り捨てます。影響を受ける Samba 設定は、カーネルファイルシステムのアクセス許可チェックがバイパスされ、Samba 自身のアクセス許可の適用を利用するものです。
    エラーは、このチェックが読み取り専用アクセスのクライアントリクエストに対して行われ、(切り捨てのために) 暗黙的にリクエストされた読み取り/書き込みアクセスには行われないことです。広く使用されている Samba VFS モジュール acl_xattr に、モジュール設定パラメーター acl_xattr: ignore system acls = yes が設定されている場合、このモジュールがこの動作を許可する唯一の upstream Samba モジュールであり、このセキュリティの欠陥を再現できることがわかっている唯一の方法です。(デフォルトのとおりに) モジュール設定パラメーター acl_xattr: ignore system acls=no と設定すれば、Samba サーバーはこの攻撃に対して脆弱ではありません。(CVE-2023-4091)

  - 通常の操作では、パスワードと (ほとんどの) シークレットはｈ、Active Directory で LDAP を介して漏洩することはありません。
    しかし、Samba の DirSync コントロールの実装における設計の欠陥が原因で、機密属性を除いて複製を許可されている Active Directory アカウントは、重要なドメインパスワードとシークレットを複製できます。デフォルトのインストールでは、これは RODC DC アカウント (一部のパスワードの複製のみが許可されているはずのアカウント) が、コア AD シークレットである krbtgt パスワードを含む、すべてのドメインシークレットを取得できることを意味します。RODC には、DRS レプリケーションのインストールの一環としてこのアクセス許可が付与されます。この脆弱性により、RODC と DC が区別されなくなります。次に、先ほどの問題と同じくらい深刻な問題として、この機能のアクセスチェックではエラー状態が考慮されないことがあります。メモリ不足などのエラーは成功と見なされます。この状況はフェールオープンとも呼ばれます。このようなエラー状態の一部 (メモリ不足など) は、低いアクセス許可しか持っていない攻撃者も悪用でき、秘密属性にアクセスされる可能性があります。(CVE-2023-4154)

  - Samba 開発者は、Samba DCE および RPC スタックの要素を完全なコントロール下でテストするための、rpcecho という名前の非 Windows RPC サーバーを構築しました。rpcecho が提供する RPC 関数の 1 つが、ほぼ無限にブロックできる機能です。rpcecho サービスは、ワーカーを 1 つしか持たないメイン RPC タスクから提供されるので、これは実質上、AD DC 上のすべてのサービスを拒否することになります。この問題に対処するために、rpcecho サーバーは実稼働バイナリから削除され、セルフテストビルドのみに制限されています。(CVE-2023-42669)

  - Active Directory DC である Samba は、コードベースの 2 つの異なる部分から RPC サービスを操作します。AD DC を対象とするこれらのサービスは、メイン Samba プロセスから起動され、一方、ファイルサーバーや NT4 に類似の DC を対象とするサービスは、新しい samba-dcerpcd から起動されます。これは、ファイルサーバー (smbd) タスクからオンデマンドで起動されます。samba-dcerpcd は起動するとまず、リスナーの重複を防ぐために、提供しないサービスはどれかを確認する必要があります。このアドバイザリの問題は、Samba の RPC サーバーに負荷がかかっているか、その他の理由で応答していない場合、AD DC 用に構築されていないサーバー (つまり、NT4 エミュレーションの従来の DC 用に構築されているサーバー) が誤って起動し、同じ unix ドメインソケットのリッスンを完了する可能性があるということです。この場合、AD DC が応答するクエリと、応答しないクエリが生じます。これは、実稼働環境の複数のサイトで観測されています。なぜなら、Active Directory ユーザーとコンピューターツールの起動時には、プロシージャ番号が範囲外であるためです。しかし、AD DC でサービスが起動されないようにするために、悪意をもってトリガーすることもできます。
    (CVE-2023-42670)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Slackware Linux 15.0/ current samba 複数の脆弱性 (SSA:2023-284-03)

critical Nessus プラグイン ID 182877

バージョン 1.4