В пакете Heimdal Kerberos и реализации протокола Kerberos, поставляемой в Samba, выявлена уязвимость (CVE-2017-11103), позволяющая получить доступ к ресурсам без аутентификации через организацию MITM-атаки. В контексте Samba уязвимость позволяет через MITM-атаку получить доступ к файловому серверу SMB/CIFS, серверу печати или серверу авторизации. Проблема связана некорректной организацией проверки имени сервиса KDC-REP (Key Distribution Center) при аутентификации доступа клиента к сервису через систему билетов (tickets). Суть проблемы в том, что извлечение имени сервиса KDC-REP производилось из незашифрованного и неаутентифицированнго билета (ticket), в то время как спецификация Kerberos 5 требует извлекать имя сервиса только из зашифрованного и аутентифицированного ответа ('enc_part'). Передача имени сервиса без шифрования позволяет атакующему, имеющему возможность вклиниться транзитный трафик, получить доступ к службе без знания параметров аутентификации, выдав себя за заслуживающий доверия сервер.
Исследователи лаборатории Касперского зафиксировали активность злоумышленников, связанную с попытками захвата управления над Linux-серверами, на которых не устранена критическая уязвимость (CVE-2017-7494) в Samba, позволяющая выполнить код на сервере. В отличие от похожих целевых атак на Windows-системы с уязвимостью в стеке SMB, атака на Linux-системы сводится к установке не шифровальщика-вымогателя, а ПО для майнинга криптовалют (Trojan-Downloader.Linux.EternalMiner). При успешной атаки на сервере также устанавливается бэкдор для организации удалённого входа (Backdoor.Linux.Agent). Уязвимость в Samba требует для своей эксплуатации возможности записи в раздел. Как правило разделы Samba экспортируются только для локальной сети, а наличие разделов Samba с доступом на запись, которые можно примонтировать из внешней сети без авторизации, само по себе уже является уязвимостью и встречается чрезвычайно редко. Отмеченная исследователями атака в основном актуальна как второй этап распространения влияния
Опубликованы корректирующие обновления Samba 4.6.4, 4.5.10 и 4.4.14, в которых устранена критическая уязвимость (CVE-2017-7494), позволяющая организовать выполнение кода на сервере при наличии доступа на запись в предоставляемое сервером хранилище. Уязвимость позволяет клиенту загрузить разделяемую библиотеку на SMB-хранилище и инициировать её загрузку сервером. Проблема вызвана ошибкой в реализации IPC для именованных каналов для клиентов Windows NT. Уязвимости подвержены все версии Samba, начиная с 3.5.0, поэтому дополнительно подготовлены патчи для старых версий. В качестве обходного пути защиты можно добавить в параметр "nt pipe support = no" в секцию "[global]" smb.conf и перезапустить smbd. Обновления пакетов уже сформированы для FreeBSD, Debian, Fedora и RHEL. Проследить за выпуском обновлений пакетов в других дистрибутивах можно на данных страницах: Ubuntu, openSUSE, SUSE, CentOS.
Представлены корректирующие обновления Samba 4.5.3, 4.4.8 и 4.3.13, в которых устранена порция уязвимостей. Одна из проблем (CVE-2016-2123) позволяет осуществить атаку, которая может привести к удалённому выполнению кода на сервере. Уязвимость проявляется только в Samba 4. Для проведения атаки требуется аутентифицированный доступ к серверу. Уязвимость вызвана ошибкой в функции ndr_pull_dnsp_name, которую можно использовать для инициирования переполнения буфера при обработке специально оформленных атрибутов dnsRecord в БД Samba Active Directory. Атаку может совершить любой пользователь, имеющий возможность записи атрибута dnsRecord через LDAP. По умолчанию полномочия записи dnsRecord для новых DNS-объектов имеются у всех аутентифицированных пользователей LDAP. Проблема пока не исправлена в дистрибутивах Linux (Debian, Ubuntu, SUSE). RHEL и CentOS 5, 6, 7 проблеме не подвержены, так поставляют пакеты Samba без AD DNS Server. В качестве обходного пути защиты для зоны DNS можно изменить уровень

Релиз Samba 4.5.0

07.09.2016 21:11
После шести месяцев разработки состоялся релиз Samba 4.5.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind). Ключевые изменения в Samba 4.5: С целью усиления безопасности и блокирования возможных MITM-атак, по умолчанию отключена аутентификация с использованием NTLMv1. Опции "ntlm auth", "lanman auth" и "raw NTLMv2 auth" теперь установлены по умолчанию в значение "no", что может повлиять на работу старых клиентов, не поддерживающих NTLMv2 (например, NTLMv1 используется в MSCHAPv2 для VPN и 802.1x); В LDAP-сервер добавлена поддержка LDAP_SERVER_NOTIFICATION_OID, которая позволяет организовать мониторинг изменений в БД Active Directory; Samba
Доступны корректирующие выпуски Samba 4.4.5, 4.3.11 и 4.2.14, в которых устранена уязвимость (CVE-2016-2119), позволяющая обойти механизм проверки по цифровой подписи и организовать MITM-атаку (man-in-the-middle), при которой клиент может быть направлен на подставной сервер SMB2 и SMB3. Проблема связана с возможностью отключить проверку по цифровой подписи для установленного соединения с клиентом через подстановку пактов с флагами SMB2_SESSION_FLAG_IS_GUEST или SMB2_SESSION_FLAG_IS_NULL. Проблема в основном представляет угрозу для конфигураций winbindd с пробросом DCERPC поверх SMB2, используемых для взаимодействия с контроллером домена, так как по умолчанию защита по цифровой подписи для обычных соединений не применяется.
Раскрыты подробности об анонсированной в марте уязвимости Badlock (CVE-2016-2118), которая затрагивает почти все версии Windows и Samba. Уязвимость может быть использована для совершения MITM-атаки, при наличии у злоумышленника доступа к шлюзу или локальной сети клиента или сервера, или для инициирования удалённого отказа в обслуживании (DoS). Проблема устранена в выпусках Samba 4.4.2, 4.3.8 и 4.2.11 (исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращена), в которых также исправлено ещё семь уязвимостей. Суть уязвимости Badlock сводится к тому, что атакующий, способный перехватить DCERPC-трафик между клинтом и сервером, может отправить от имени клиента собственные команды и выполнить на сервере операции с данными в соответствии с привилегиями перехваченного пользователя. Наибольшую опасность представляют атаки, в результате которых может быть перехвачен трафик администратора контроллера домена, что позволяет злоумышленникам получить доступ к просмотру и изменению БД
После шести месяцев разработки увидел свет значительный выпуск Samba 4.4.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind). Ключевые изменения в Samba 4.4: Экспериментальная поддержка многоканального расширения SMB3 (протокол SMB3 Multi-Channel), позволяющего клиентам устанавливать несколько соединений для распараллеливания передачи данных в рамках одного SMB-сеанса. Например, при обращении к одному файлу операции ввода/вывода могут распределяться сразу по нескольким открытым соединениям. Данный режим позволяет повысить пропускную способность и увеличить устойчивость к сбоям. Для включения SMB3 Multi-Channel в smb.conf следует установить опцию
Доступны корректирующие выпуски Samba 4.3.6, 4.2.9 и 4.1.23, в которых устранены две уязвимости: CVE-2015-7560 - аутентифицированный клиент может обойти ограничения ACL. Использовав UNIX-расширения протокола SMB1 пользователь может создать символическую ссылку на файл или директорию, доступ к которым ограничен. Затем при помощи SMB1 без UNIX-расширений пользователь может перезаписать содержимое данного файла или директории, обратившись к ним через созданную ссылку. Проблема проявляется во всех выпусках, начиная с 3.2.0. В качестве обходных путей защиты можно запретить использование UNIX-расширений ("unix extensions = no" в секции "[global]") или ограничить протокол версией SMB2 ("server min protocol = SMB2" в секции "[global]"). CVE-2016-0771 - уязвимость во встроенном DNS-сервере, поставляемом в составе Samba 4.x. Проблема вызвана ошибкой обработки DNS-записей TXT и позволяет атакующему изменить содержимое DNS-записей или инициировать отказ в обслуживании. Существует вероятность утечки содержимого
После шести месяцев разработки представлен значительный выпуск Samba 4.3.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind). Ключевые изменения в Samba 4.3: Поддержка протокола SMB 3.1.1 в клиенте и сервере. Протокол SMB 3.1.1 содержит ряд расширений, представленных в Windows 10 и нацеленных на усиление защиты этапа согласования диалекта и возможностей протокола. Опционально добавлена поддержка шифрования с использованием алгоритма aes-gcm-128, который применяется при невозможности задействовать используемый по умолчанию алгоритм aes-ccm-128, остающийся предпочтительным в силу более высокой производительности; Поддержка одновременного