В пакете Heimdal Kerberos и реализации протокола Kerberos, поставляемой в Samba, выявлена уязвимость (CVE-2017-11103), позволяющая получить доступ к ресурсам без аутентификации через организацию MITM-атаки. В контексте Samba уязвимость позволяет через MITM-атаку получить доступ к файловому серверу SMB/CIFS, серверу печати или серверу авторизации. Проблема связана некорректной организацией проверки имени сервиса KDC-REP (Key Distribution Center) при аутентификации доступа клиента к сервису через систему билетов (tickets). Суть проблемы в том, что извлечение имени сервиса KDC-REP производилось из незашифрованного и неаутентифицированнго билета (ticket), в то время как спецификация Kerberos 5 требует извлекать имя сервиса только из зашифрованного и аутентифицированного ответа ('enc_part'). Передача имени сервиса без шифрования позволяет атакующему, имеющему возможность вклиниться транзитный трафик, получить доступ к службе без знания параметров аутентификации, выдав себя за заслуживающий доверия сервер.
Из находящейся в разработке ветки OpenBSD-Current удалены компоненты системы аутентификации Kerberos 5. В качестве причины прекращения поддержки Kerberos в базовой системе отмечается усложнённость и недостаточный уровень качества кодовой базы, а также невостребованность данного протокола у пользователей OpenBSD. Для единичных пользователей, использующих Kerberos в своей работе, предлагается установить пакет из портов. Дополнение: Удаление Kerberos из состава базовой ОС должно также способствовать упрощению портирования Samba 4.x. Как известно, в дистрибутив Samba входит собственная копия Heimdal Kerberos с несовместимыми изменениями в API. Ранее было технически проблематично совмещать Samba 4.x и другое ПО, слинкованное с (системным) Kerberos. Теперь данная проблема может быть решена простыми методами.
После почти десяти лет разработки представлен первый стабильный релиз Samba 4.0. Ключевым отличием Samba 4.0 от Samba 3.6 является полноценная реализация контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 8. В состав Samba 4.0 входят все компоненты, необходимые для создания полноценного контроллера домена с поддержкой Active Directory, в том числе LDAP-сервер, сервер аутентификации Kerberos KDC, сервер динамического DNS и реализация сопутствующих RPC-сервисов. Предоставляется поддержка таких возможностей, как групповые политики (Group Policy), перемещаемые профили (Roaming Profiles), утилиты администрирования Windows, интеграция с Microsoft Exchange и совместимыми сервисами, такими как OpenChange. Сервер Active Directory на базе Samba 4.0 может быть подсоединён к уже существующим доменам Microsoft Active Directory и наоборот, контроллеры доменов на базе продуктов Microsoft
Несколько недавно обнаруженных уязвимостей: В вышедшем на днях релизе свободного антивирусного пакета ClamAV 0.96.5 устранено 2 уязвимости, потенциально позволяющие организовать выполнение кода злоумышленника: удаленный вызов краха процесса clamd при проверке специально оформленных PDF-файлов и переполнение буфера в функции "icon_cb()"; В релизе OpenSSL 1.0.0c устранены две уязвимости: возможность использования прошлой версии набора шифров через изменение прокэшированных параметров TLS/SSL сессии; ошибка в реализации протокола аутентификации J-PAKE позволяет сгенерировать предсказуемый сессионный ключ и успешно пройти аутентификацию; В DNS-сервере BIND 9.6.2-P3 и 9.7.2-P3 устранено 3 уязвимости, позволяющие инициировать удаленный отказ в обслуживании, вызвать пометку в DNSSEC валидной DNS-зоны как небезопасной и обойти "allow-query" ограничение ACL; В MIT Kerberos обнаружены 7 уязвимостей, которые позволяют осуществить подстановку данных (спуфинг), повысить свои привилегии и обойти некоторые
Несколько новых уязвимостей: В Linux ядре найдена уязвимость, при удачном стечении обстоятельств позволяющая локальному пользователю повысить свои привилегии в системе. Проблема связана с обращением к блоку памяти, после его очистки через вызов функции free(), при обработке файловых дескрипторов с установленным флагом FASYNC; В реализации функции CRYPTO_free_all_ex_data() из библиотеки OpenSSL найдена ошибка, позволяющая злоумышленнику инициировать значительную утечку памяти, приводящую к DoS атаке через исчерпание доступной процессу памяти. Уязвимая функция используется во многих приложениях, в частности в mod_php для http-сервера Apache. Проблема устранена в CVS-репозитории OpenSSL; В MIT Kerberos KDC сервере устранена опасная уязвимость, присутствующая в коде раскодирования данных, зашифрованных методами AES и RC4. Уязвимость потенциально позволяет злоумышленнику организовать выполнение своего кода на сервере, путем отправки специально оформленных зашифрованных последовательностей. Проблема
Несколько новых уязвимостей: Несколько критических уязвимостей обнаружено в MIT Kerberos и производных продуктах, например в Solaris SEAM Kerberos. Первая уязвимость в коде декодирования ASN.1, позволяет удаленному злоумышленнику вызвать крах kadmind или выполнить свой код в системе. Вторая ошибка в коде с реализацией SPNEGO GSS-API позволяет вызвать крах kadmind или получить доступ к служебной области памяти процесса. Третья ошибка затрагивает код PK-INIT и может быть использована для вызова отказа в обслуживании KDC (Key Distribution Center) или kinit. Уязвимости присутствуют во всех версиях MIT Kerberos 5 (krb5), выпущенных до релиза 1.6.4. Кроме того уязвимостям подвержены версии Kerberos из состава OpenSolaris, Solaris 9 и 10, а также пакет Enterprise Authentication Mechanism 1.0.1. В mod_jk из состава пакета Apache Tomcat найдена уязвимость, позволяющая организовать подстановку результата выполнения запроса к серверу злоумышленника в качестве ответа на запрос постороннего пользователя. Проблема
В RPC библиотеке, используемой в управляющем сервере kadmind, входящем в пакет MIT Kerberos, обнаружена критическая уязвимость, позволяющая удаленному злоумышленнику выполнить свой код на сервере аутентификации с правами процесса kadmind. Проблеме подвержены версии Kerberos 5 с 1.2.2 по 1.3 и с 1.4 по 1.6.3 включительно. Необходимым условием эксплуатации уязвимости является наличие в операционной системе разрешение на открытие большого числа файловых дескрипторов. Кроме того, отмечается наличие еще двух уязвимостей, приводящих к отказу в обслуживании или выполнению кода злоумышленника. Проблемы связаны с ошибкой в KDC (Key Distribution Center) при обработке входящих krb4 запросов. Уязвимостям подвержены все версии MIT Kerberos до 1.6.3 включительно.
Aleksey Barabanov опубликовал две новые статьи (в PDF формате): "Почему TCP поверх TCP - плохая идея" - перевод документа поясняющего почему не стоит использовать туннели поверх TCP, от автора "PPP over SSH" скрипта и проекта CIPE (Crypto IP Encapsulation); "Настраиваем Kerberos поверх LDAP" - настройка открытой версии Heimdal Kerberos для работы с OpenLDAP в качестве хранилища учетных данных. Ранее опубликованные статьи: "Обзор дистрибутива SuSE Professional 9.2"; Отрывок рукописи "LDAP и Все-Все-Все"; "Обновление SuSE Linux 9.0 до 9.1 с помощью apt"; "Модификация дистрибутивных дисков SuSE".
Три статьи про использование LDAP директории для организации централизованной базы пользователей: "Advanced Linux LDAP authentication" - модификация информации о пользователе в LDAP директории и включение шифрования передачи данных между LDAP сервером и клиентом. В предыдущей статье из данной серии рассказывалось о настройке централизованной базы аккаунтов в LDAP и использовании pam_ldap. "Centralized User Management with Kerberos and LDAP" - рассказ о создании централизованной базы аккаунтов используя Kerberos и LDAP. "Paranoid Penguin - Single Sign-on and the Corporate Directory" - первая статья из серии посвященной созданию корпоративной директории на базе MIT Kerberos и OpenLDAP, рассчитанной на работу нескольких тысяч пользователей.
Первого ноября выпущен релиз OpenBSD 3.2. Подробнее ниже. Значительная часть сайта openbsd.org и документации переведена на русский язык; OpenSSH 3.5, активировано по умолчанию "Privilege separation"; Non-executable stack on i386, sparc, sparc64, alpha, powerpc; Apache в chroot окружении; Сокращение числа setuid программ и минимизация кода выполняющегося с привелегиями суперпользователя в оставшихся; Устройства симметричного и ассиметричного шифрования поддерживаются в конфигурации ядра по умолчанию; Добавлены новые разделы в документацию, обновлены man и faq; Переработана коллекция "портов" (1800 программ), уменьшено (переписаны участки кода или программа исключена из портов) число программ требующие setuid/setgid; Обновлен код пакетного фильтра (pf): ключ "antispoof", поддержка динамических интерфейсов (не нужно перечитывать правила при смене IP), расширенные режимы фильтрации и т.д. Новая утилита systrace - ограничение программы на уровне системных вызовов; Обновление ПО: XFree86 4.2.1, gcc 2.95.3, perl