ASA-2018-00061 – Samba: Contagem de senha incorreta no AD DC nem sempre é eficaz


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00061

Identificador(es)

ASA-2018-00061, CVE-2018-16857

Título

Contagem de senha incorreta no AD DC nem sempre é eficaz

Fabricante(s)

Samba

Produto(s)

Samba

Versão(ões) afetada(s)

Samba 4.9.0 e posteriores

Versão(ões) corrigida(s)

Samba 4.9.3

Prova de conceito

Desconhecido

Descrição

Por padrão, Samba irá lembrar senha incorreta por 30 min:

Exemplo:
$ samba-tool domain passwordsettings show

Reset account lockout after (mins): 30

Isto é também conhecido como “janela de observação de senha incorreta” e é configurado no atributo lockOutObservationWindow do domínio DN ou em uma diretiva de senha refinada (também conhecida como Password Settings Object – PSO).

Se este valor é atribuído para mais que três minutos, bloqueio de senha incorreta pode ser ineficaz.

Se a configuração fosse de 8 a 10 minutos ou 15 a 16 minutos, o Samba ainda ofereceria alguma proteção de bloqueio de senha incorreta, mas usaria uma janela de observação menor do que a configurada (entre 41 e 170 segundos, dependendo da configuração real).

Para todas as outras janelas de observação configuradas ao longo de 3 minutos (incluindo o padrão), a contagem incorreta de senhas não funcionará. Isso significará que o atributo badPwdCount (que armazena repetidas tentativas de senhas incorretas) nunca excederá 1. O “limite de bloqueio da conta” não será atingido e o usuário nunca será bloqueado.

Detalhes técnicos

Desconhecido

Créditos

Isaac Boukris

Referência(s)

Bad password count in AD DC not always effective
https://www.samba.org/samba/security/CVE-2018-16857.html

Bug 13683 – (CVE-2018-16857) [SECURITY] CVE-2018-16857 Bad password count not effective for default (30min) window
https://bugzilla.samba.org/show_bug.cgi?id=13683

[Announce] Samba 4.9.3, 4.8.7 and 4.7.12 Security Releases Available
https://lists.samba.org/archive/samba-announce/2018/000462.html

CVE-2018-16857 tests: Sanity-check password lockout works with default values
https://github.com/samba-team/samba/commit/77de8278e4b467b66a477c09945a9bcc6b08b194

CVE-2018-16857 dsdb/util: Correctly treat lockOutObservationWindow as 64-bit int
https://github.com/samba-team/samba/commit/c7b937c5aae40483f2f37727758ed50877f17a5b

CVE-2018-16857 dsdb/util: Fix lockOutObservationWindow for PSOs
https://github.com/samba-team/samba/commit/13014aea13a77f6a75ab948e2a29d814ebd9dd22

CVE-2018-16857 dsdb/util: Add better default lockOutObservationWindow
https://github.com/samba-team/samba/commit/fde9f7c81b42419e71b2fc8c31d92db4a05176af

CVE-2018-16857
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16857

CVE-2018-16857
https://nvd.nist.gov/vuln/detail/CVE-2018-16857

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 7 de dezembro de 2018