For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00621
Identificador(es)
ASA-2019-00621, CVE-2019-14833
Título
Script para checar password do AD DC não recebe senha completa
Fabricante(s)
The Samba Project
Produto(s)
Samba
Versão(ões) afetada(s)
Samba versões anteriores à 4.11.2
Samba versões anteriores à 4.10.10
Samba versões anteriores à 4.9.15
Versão(ões) corrigida(s)
Samba versão 4.11.2
Samba versão 4.10.10
Samba versão 4.9.15
Prova de conceito
Desconhecido
Descrição
Desde o Samba versão 4.5.0, o Samba AD DC pode usar um comando personalizado para verificar a complexidade da senha. O comando pode ser especificado com o parâmetro “check password script” no smb.conf. Este comando é chamado quando o Samba lida com uma alteração de senha de usuário ou uma nova senha de usuário é definida. O script recebe a nova sequência de senha de texto não criptografada para executar verificações de complexidade de senha personalizadas, como verificações de senha em dicionários, para evitar senhas fracas do usuário.
Quando a senha contém caracteres de vários bytes (não ASCII), o script de verificação da senha não recebe a cadeia de caracteres da senha completa.
Detalhes técnicos
Desconhecido
Créditos
Simon Fonteneau
Referência(s)
Samba – Security Updates and Information
https://www.samba.org/samba/history/security.html
Samba AD DC check password script does not receive the full password
https://www.samba.org/samba/security/CVE-2019-14833.html
CVE-2019-14833
https://cve.mitre.org/cgi-bin/cvename.cgi?name= CVE-2019-14833
CVE-2019-14833
https://nvd.nist.gov/vuln/detail/ CVE-2019-14833
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 5 novembro 2019