ASA-2019-00621 – Samba: Script para checar password do AD DC não recebe senha completa


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00621

Identificador(es)

ASA-2019-00621, CVE-2019-14833

Título

Script para checar password do AD DC não recebe senha completa

Fabricante(s)

The Samba Project

Produto(s)

Samba

Versão(ões) afetada(s)

Samba versões anteriores à 4.11.2
Samba versões anteriores à 4.10.10
Samba versões anteriores à 4.9.15

Versão(ões) corrigida(s)

Samba versão 4.11.2
Samba versão 4.10.10
Samba versão 4.9.15

Prova de conceito

Desconhecido

Descrição

Desde o Samba versão 4.5.0, o Samba AD DC pode usar um comando personalizado para verificar a complexidade da senha. O comando pode ser especificado com o parâmetro “check password script” no smb.conf. Este comando é chamado quando o Samba lida com uma alteração de senha de usuário ou uma nova senha de usuário é definida. O script recebe a nova sequência de senha de texto não criptografada para executar verificações de complexidade de senha personalizadas, como verificações de senha em dicionários, para evitar senhas fracas do usuário.

Quando a senha contém caracteres de vários bytes (não ASCII), o script de verificação da senha não recebe a cadeia de caracteres da senha completa.

Detalhes técnicos

Desconhecido

Créditos

Simon Fonteneau

Referência(s)

Samba – Security Updates and Information
https://www.samba.org/samba/history/security.html

Samba AD DC check password script does not receive the full password
https://www.samba.org/samba/security/CVE-2019-14833.html

CVE-2019-14833
https://cve.mitre.org/cgi-bin/cvename.cgi?name= CVE-2019-14833

CVE-2019-14833
https://nvd.nist.gov/vuln/detail/ CVE-2019-14833

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 5 novembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.