Критическая уязвимость в Samba, позволяющая поменять пароль любого пользователя

В прeдoстaвляeмoм в Samba LDAP-сeрвeрe с рeaлизaциeй кoнтрoллeрa дoмeнa Active Director выявлeнa критичeскaя уязвимoсть (CVE-2018-1057), кoтoрaя пoзвoляeт любoму нeпривилeгирoвaннoму пользователю, авторизированному поверх LDAP, изменить пароль других пользователей, в томик числе администраторов и привилегированных пользователей контроллера домена. Проблеме подвержены однако выпуски Samba 4.x. Уязвимость вызвана ошибкой в задании полномочий сверху смену пароля в AD. Право на смену пароля задаётся в AD словно расширенный объект доступа, который по мнению умолчанию предоставляет право смены пароля отнюдь не только для объектов пользователя (self), так и для любых других объектов (world). Положение проявляется только в Samba Active Directory DC и маловыгодный проявляется в Samba3, доменах NT4, классических доменах и получай файловых серверах. Отследить недавние изменения паролей дозволено командой: ldbsearch -H /usr/local/samba/private/sam.ldb objectclass=user pwdLastSet msDS-KeyVersionNumber В (видах защиты без обновления можно деть специально подготовленный скрипт samba_CVE-2018-1057_helper, какой-никакой позволяет отозвать у всех объектов пользователей, в книга числе компьютеров пользователей, право смены паролей в контексте "world" и отложить на черный день только право смены собственного пароля. Раньше установки обновления также можно пока суд да дело запретить смену паролей, добавив в обложка конфигурации smb.conf строку "check password script = /bin/false", не то — не то установив минимальный размер пароля в максимально возможное сила (2 Гб). Уязвимость устранена в выпусках Samba 4.8.0, 4.7.6, 4.6.14 и 4.5.16. Обновления пакетов с устранением уязвимости уж доступны в Debian, FreeBSD, Ubuntu и Fedora. Отрегулирование пока не выпущено для openSUSE. RHEL и SUSE Linux Enterprise проблеме маловыгодный подвержены, так как не используют Samba 4 AD DC. Сольфатор: http://www.opennet.ru/opennews/art.shtml?num=48261