ASA-2019-00364 – Samba: Um usuário com acesso de leitura ao diretório pode causar um NULL pointer dereference usando paged search control

Um usuário com acesso de leitura ao servidor LDAP pode causar um crash no processo do servidor LDAP. Dependendo da versão do Samba e da escolha do modelo de processo, isso pode causar um crash apenas a própria conexão do usuário.

ASA-2019-00363 – Samba: Negação de serviço no servidor de gerenciamento do DNS (dnsserver) no AD DC

O pipe RPC dnsserver (mal nomeado) fornece recursos administrativos para modificar registros e zonas DNS. Um usuário autenticado pode causar um crash no processo do servidor RPC por meio de um NULL pointer dereference.

ASA-2019-00266 – Samba: AD DC S4U2Self/S4U2Proxy unkeyed checksum

S4U2Self é uma extensão do Kerberos usado no Active Directory para permitir que um serviço solicite um ticket do kerberos para ele mesmo a partir do Kerberos Key Distribution Center (KDC) para um usuário autenticado não-Kerberos (principal na linguagem Kerberos). Isso é útil para permitir que caminhos de código internos sejam padronizados em torno do Kerberos. S4U2Proxy (delegação restrita) é uma extensão desse mecanismo, permitindo essa representação a um segundo serviço pela rede. Ele permite que um servidor privilegiado que obteve um ticket S4U2Self para si mesmo, em seguida, declare a identidade desse principal para um segundo serviço e se apresente como esse principal para obter serviços do segundo serviço. Há uma falha no AD DC da Samba no KDC de Heimdal. Quando o KDC Heimdal verifica o checksum que é colocado no pacote S4U2Self pelo servidor para proteger o principal solicitado contra modificação, ele não confirma que o algoritmo de checksum que protege o nome de usuário (principal) na solicitação é codificado. Isso permite que um ataque man-in-the-middle intercepte a solicitação ao KDC para modificar o pacote, substituindo o nome de usuário (principal) na solicitação por qualquer nome de usuário (principal) desejado existente no KDC e substitua o checksum protegendo esse nome com uma soma de verificação CRC32 (que não requer conhecimento prévio para computar). Isso permitiria que um ticket S4U2Self solicitado em nome do nome de usuário (principal) user@EXAMPLE.COM para qualquer serviço fosse alterado para um ticket S4U2Self com um nome de usuário (principal) de Administrator@EXAMPLE.COM. Este ticket conteria então o PAC de o nome de usuário modificado (principal).

ASA-2019-00231 – Samba: Salvar o arquivo de registro fora do compartilhamento como usuário não privilegiado

O Samba contém um RPC endpoint emulando a API do serviço de registro do Windows. Uma das solicitações, "winreg_SaveKey", é suscetível a uma vulnerabilidade de path/symlink traversal. Usuários não privilegiados podem usá-lo para criar um novo arquivo de seção de registro em qualquer lugar onde tenham permissões unix para criar um novo arquivo em um compartilhamento do Samba. Se eles são capazes de criar links simbólicos no compartilhamento Samba, eles podem criar um novo registro em qualquer lugar que tenham acesso de gravação, mesmo fora da definição de compartilhamento do Samba. Observação - restrições de compartilhamento existentes, como "somente leitura" ou ACLs compartilhadas, *não* impedem que novos arquivos de seção de registro sejam gravados no sistema de arquivos. Um arquivo pode ser escrito em qualquer definição de compartilhamento, sempre que o usuário tiver permissões unix para criar um arquivo. Os arquivos existentes não podem ser sobrescritos usando esta vulnerabilidade, somente novos arquivos de registro podem ser criados, no entanto, a presença de arquivos existentes com um nome específico pode ser detectada. O Samba escreve ou detecta o arquivo como o usuário autenticado, não como root.

ASA-2019-00230 – Samba: Arquivos graváveis para todo mundo no diretório do Samba AD DC private/

Durante a criação de um novo Samba AD DC, os arquivos são criados no subdiretório private/ de nosso local de instalação. Este diretório é tipicamente o modo 0700, que é o acesso somente do proprietário (root). No entanto, em algumas instalações atualizadas, ele terá outras permissões, como 0755, porque esse era o padrão antes do Samba 4.8. Nesse diretório, os arquivos são criados com o modo 0666, que é gravável por todos, incluindo um exemplo de krb5.conf e a lista de nomes DNS e valores de servicePrincipalName a serem atualizados.