ASA-2018-00061 – Samba: Contagem de senha incorreta no AD DC nem sempre é eficaz


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00061

Identificador(es)

ASA-2018-00061, CVE-2018-16857

Título

Contagem de senha incorreta no AD DC nem sempre é eficaz

Fabricante(s)

Samba

Produto(s)

Samba

Versão(ões) afetada(s)

Samba 4.9.0 e posteriores

Versão(ões) corrigida(s)

Samba 4.9.3

Prova de conceito

Desconhecido

Descrição

Por padrão, Samba irá lembrar senha incorreta por 30 min:

Exemplo:
$ samba-tool domain passwordsettings show

Reset account lockout after (mins): 30

Isto é também conhecido como “janela de observação de senha incorreta” e é configurado no atributo lockOutObservationWindow do domínio DN ou em uma diretiva de senha refinada (também conhecida como Password Settings Object – PSO).

Se este valor é atribuído para mais que três minutos, bloqueio de senha incorreta pode ser ineficaz.

Se a configuração fosse de 8 a 10 minutos ou 15 a 16 minutos, o Samba ainda ofereceria alguma proteção de bloqueio de senha incorreta, mas usaria uma janela de observação menor do que a configurada (entre 41 e 170 segundos, dependendo da configuração real).

Para todas as outras janelas de observação configuradas ao longo de 3 minutos (incluindo o padrão), a contagem incorreta de senhas não funcionará. Isso significará que o atributo badPwdCount (que armazena repetidas tentativas de senhas incorretas) nunca excederá 1. O “limite de bloqueio da conta” não será atingido e o usuário nunca será bloqueado.

Detalhes técnicos

Desconhecido

Créditos

Isaac Boukris

Referência(s)

Bad password count in AD DC not always effective
https://www.samba.org/samba/security/CVE-2018-16857.html

Bug 13683 – (CVE-2018-16857) [SECURITY] CVE-2018-16857 Bad password count not effective for default (30min) window
https://bugzilla.samba.org/show_bug.cgi?id=13683

[Announce] Samba 4.9.3, 4.8.7 and 4.7.12 Security Releases Available
https://lists.samba.org/archive/samba-announce/2018/000462.html

CVE-2018-16857 tests: Sanity-check password lockout works with default values
https://github.com/samba-team/samba/commit/77de8278e4b467b66a477c09945a9bcc6b08b194

CVE-2018-16857 dsdb/util: Correctly treat lockOutObservationWindow as 64-bit int
https://github.com/samba-team/samba/commit/c7b937c5aae40483f2f37727758ed50877f17a5b

CVE-2018-16857 dsdb/util: Fix lockOutObservationWindow for PSOs
https://github.com/samba-team/samba/commit/13014aea13a77f6a75ab948e2a29d814ebd9dd22

CVE-2018-16857 dsdb/util: Add better default lockOutObservationWindow
https://github.com/samba-team/samba/commit/fde9f7c81b42419e71b2fc8c31d92db4a05176af

CVE-2018-16857
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16857

CVE-2018-16857
https://nvd.nist.gov/vuln/detail/CVE-2018-16857

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 7 dezembro 2018

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.