GLSA-202309-06 : Samba：多个漏洞

critical Nessus 插件 ID 181514

语言：

描述

远程主机受到 GLSA-202309-06 中所述漏洞的影响（Samba：多个漏洞）

- Python 中 tarfile 模块的 (1) extract 和 (2) extractall 函数中存在目录遍历漏洞，用户协助的远程攻击者可利用此漏洞，通过 TAR 存档中文件名中的 ..（点点）序列覆写任意文件，而此问题与 CVE-2001-1267 相关。(CVE-2007-4559)

- 在 samba 实现 SMB1 身份验证的方式中发现一个缺陷。即使需要进行 Kerberos 身份验证，攻击者也可利用此缺陷检索通过线路发送的明文密码。
(CVE-2016-2124)

- Kerberos 安全功能绕过漏洞 (CVE-2020-17049)

- 在 Samba 将域用户映射到本地用户的方式中发现一个缺陷。经过身份验证的攻击者可能利用此缺陷造成权限升级。(CVE-2020-25717)

- 在 samba（作为 Active Directory 域控制器）支持 RODC（只读域控制器）的方式中发现一个缺陷。这将允许 RODC 打印管理员票证。(CVE-2020-25718)

- 在 Samba（作为 Active Directory 域控制器）实现基于名称的 Kerberos 身份验证的方式中发现一个缺陷。如果 Samba AD DC 不严格要求使用 Kerberos PAC 但始终使用在其中发现的 SID，则它可能会混淆票证代表的用户。最终可能造成整个域遭到破坏。(CVE-2020-25719)

- Kerberos 接收器需要轻松访问稳定的 AD 标识符（例如 objectSid）。作为 AD DC 的 Samba 现在为 Linux 应用程序提供了获取已发布票证中可靠 SID（和 samAccountName）的方式。
(CVE-2020-25721)

- 在 samba AD DC 对存储数据实施访问和一致性检查的方式中发现多个缺陷。攻击者可利用此缺陷破坏整个域。(CVE-2020-25722)

Samba AD DC LDAP 未遵循 MaxQueryDuration (CVE-2021-3670)

- 在 DCE/RPC 中，可以通过称为“关联组”的机制在多个连接之间共享句柄（资源状态的 Cookie）。这些句柄可引用与 sam.ldb 数据库的连接。但是，尽管数据库共享正确，但它仅指向用户凭据状态，当该关联组中的一个连接结束时，数据库将指向无效的“struct session_info”。此处最可能的结果是崩溃，但释放后使用问题也可能允许指向不同的用户状态，而这可能允许更多特权访问。(CVE-2021-3738)

- 在 samba 中发现一个缺陷。如满足特殊条件，密码锁定代码中的争用条件可能会导致暴力攻击成功的风险。(CVE-2021-20251)

- 在 Samba 处理文件和目录权限的方式中发现一个缺陷。此缺陷允许具有读取或修改共享元数据权限的经身份验证的攻击者在共享范围之外执行此操作。(CVE-2021-20316)

- 在 samba 实现 DCE/RPC 的方式中发现一个缺陷。如果 Samba 服务器的客户端发送了非常大的 DCE/RPC 请求，并选择对其进行分段，则攻击者可用自己的数据替换以后的分段，从而绕过签名要求。(CVE-2021-23192)

- 所有低于 4.15.5 版本的 Samba 都容易受到恶意客户端攻击，该客户端通过使用服务器符号链接来确定文件或目录是否存在于未在共享定义下导出的服务器文件系统区域中。必须启用具有 unix 扩展的 SMB1，才能成功发动此攻击。
(CVE-2021-44141)

- Samba vfs_fruit 模块使用扩展的文件属性（EA、xattr）提供与 Apple SMB 客户端的增强兼容性以及与 Netatalk 3 AFP 文件服务器的互操作性。配置了 vfs_fruit 的 Samba 4.13.17、 4.14.12 和 4.15.5 之前版本允许通过特别构建的扩展文件属性进行越界堆读写。对扩展文件属性具有写入访问权限的远程攻击者可以 smbd 权限（通常是 root 权限）执行任意代码。(CVE-2021-44142)

- Samba AD DC 包含向帐户添加服务主体名称 (SPN) 时的检查，以确保 SPN 不会与数据库中已有的名称混淆。如果在修改帐户时重新添加了该帐户以前存在的 SPN（例如在计算机加入域时添加的 SPN），则可以绕过其中一些检查。能够写入帐户的攻击者可利用此缺陷，通过添加与现有服务匹配的 SPN 来执行拒绝服务攻击。此外，能够拦截流量的攻击者可以冒充现有服务，从而破坏机密性和完整性。(CVE-2022-0336)

- 在 Samba 中，GnuTLS gnutls_rnd() 可能发生故障并提供可预测的随机值。(CVE-2022-1615)

- 在 Samba 中发现一个缺陷。当 KDC 和 kpasswd 服务共享单个帐户和一组密钥时会出现安全漏洞，让它们能够解密彼此的票证。已被要求更改密码的用户可利用此缺陷获取并使用其他服务的票证。
(CVE-2022-2031)

- 在 Samba 的 Heimdal 的 GSSAPI unwrap_des() 和 unwrap_des3() 例程中发现一个基于堆的缓冲区溢出漏洞。当遇到恶意的小数据包时，Heimdal 的 GSSAPI 库中，例程 DES 和 Triple-DES 解密允许在 malloc() 分配的内存中发生有长度限制的写入堆缓冲区溢出。此缺陷允许远程用户向应用程序发送特别构建的恶意数据，从而可能导致拒绝服务 (DoS) 攻击。 (CVE-2022-3437)

- 在 Samba 中发现符号链接跟随漏洞。利用此漏洞，用户可以创建符号链接，使“smbd”转义配置的共享路径。利用此缺陷，通过 SMB1 unix 扩展或 NFS 等共享路径访问文件系统导出部分的远程用户可以在配置的“smbd”共享路径之外创建文件的符号链接，并获取对其他受限服务器文件系统的访问权限。
(CVE-2022-3592)

- 在 Samba 中发现一个缺陷。程序未对某些 SMB1 写入请求进行正确的范围检查，以确保客户端已发送足够的数据来完成写入，这允许用户将服务器内存的内容写入文件（或打印机），而不是客户端提供的数据。客户端无法控制写入文件（或打印机）的服务器内存区域。(CVE-2022-32742)

- Samba 未验证 dNSHostName 属性的 Validated-DNS-Host-Name 权限，可能导致非特权用户可以执行写入操作。(CVE-2022-32743)

- 在 Samba 中发现一个缺陷。KDC 接受使用其已知的任何密钥加密的 kpasswd 请求。通过使用自己的密钥加密伪造的 kpasswd 请求，用户可以更改其他用户的密码，从而实现完全域接管。(CVE-2022-32744)

- 在 Samba 中发现一个缺陷。Samba AD 用户可通过添加 LDAP 来导致服务器访问未初始化的数据，或者可以修改请求，这通常会导致段错误。(CVE-2022-32745)

- 在 Samba AD LDAP 服务器中发现一个缺陷。AD DC 数据库审计日志记录模块可以访问由之前的数据库模块释放的 LDAP 消息值，从而导致释放后使用问题。仅当修改某些特权属性（例如 userAccountControl）时才可能出现此问题。(CVE-2022-32746)

- Windows Kerberos RC4-HMAC 存在权限提升漏洞 (CVE-2022-37966)

- Windows Kerberos 存在权限提升漏洞 (CVE-2022-37967)

- Netlogon RPC 中存在权限提升漏洞 (CVE-2022-38023)

- 1.19.4 之前和 1.20.1 之前的 1.20.x 版本的 MIT Kerberos 5（也称为 krb5）中，PAC 解析可能导致在 32 位平台上（在 KDC、kadmind、GSS 或 Kerberos 中）执行远程代码（由此产生基于堆的缓冲区溢出），并在其他平台上造成拒绝服务。这会发生在 lib/krb5/krb/pac.c 的 krb5_pac_parse 中。 7.7.1 之前的 Heimdal 也有类似的缺陷。
(CVE-2022-42898)

- 由于 Microsoft 在 2022 年 11 月 8 日披露了 Windows Kerberos RC4-HMAC 权限提升漏洞，并根据 RFC8429 假定 rc4 - hmac 较弱，因此尽管目标服务器支持更好的加密，但 Samba Active Directory DC 仍将发出 rc4-hmac 加密工单（例如 aes256-cts-hmac-sha1-96）。(CVE-2022-45141)

- 在 Samba 中发现一个缺陷。dnsHostName 存在访问检查不完整问题，经过认证的非特权用户可从目录中的任何对象中删除此属性。(CVE-2023-0225)

- 4.6.16、4.7.9、4.8.4 和 4.9.7 版中针对 CVE-2018-10919 通过 LDAP 过滤器泄露机密属性的补丁不充分，攻击者可从 Samba AD DC 获取机密 BitLocker 恢复密钥。(CVE-2023-0614)

- 针对远程 LDAP 服务器操作时，Samba AD DC 管理工具将默认通过仅限签名的连接发送新密码或重置密码。(CVE-2023-0922)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。