Slackware Linux 15.0 / 当前 php 多个漏洞 (SSA:2023-284-03)

critical Nessus 插件 ID 182877

简介

远程 Slackware Linux 主机缺少 samba 的安全更新。

描述

远程主机上安装的 samba 版本低于 4.18.8/4.19.1。因此,该应用程序受到 SSA:2023-284-03 公告中提及的漏洞影响。

- SMB 1/2/3 协议允许客户端通过 IPC$(进程间通信)共享连接到命名管道,以实现 SMB 客户端和服务器之间的进程间通信。自 Samba 4.16.0以来,Samba 在内部将客户端管道名称连接到私有目录中的 unix 域套接字,从而允许客户端连接到侦听这些套接字的服务。这通常用于将 SMB 客户端连接到远程过程调用 (RPC) 服务,例如 Samba 按需启动的 SAMR LSA 或 SPOOLSS。
然而,由于未充分审查传入的客户端管道名称,这就意味着客户端在发送包含 unix 目录遍历字符 (../) 的管道名称时,可能会导致 Samba 连接到私有目录(旨在限制客户端可连接的服务)之外的 unix 域套接字。Samba 会以 root 身份连接到 unix 域套接字,这意味着如果客户端可以使用现有的 unix 域套接字发送解析为外部服务的管道名称,则客户端将能够连接到该服务,而无需限制访问的文件系统权限。根据客户端可以连接到的服务,客户端可能会触发不良事件,例如拒绝服务、造成服务崩溃或可能损害服务。目前尚无针对此错误的已知利用案例。(CVE-2023-3961)

- SMB 协议允许打开客户端请求只读访问的文件,但如果客户端指定单独的 OVERWRITE 创建配置,则会隐式截断已打开的文件。此操作需要对文件进行写入访问,在默认的 Samba 配置中,操作系统内核将拒绝打开只读文件进行读取/写入访问(截断操作需要)。但当 Samba 配置为忽略内核文件系统权限时,Samba 就会在底层操作系统内核拒绝该操作时截断文件。受影响的 Samba 配置绕过了内核文件系统权限检查、依赖于 Samba 自身权限的执行。
错误在于,此检查是针对客户端的只读访问请求进行的,而而非针对隐式请求的读写(用于截断)访问。在使用模块配置参数 acl_xattr: ignore system acls = yes 配置时,广泛使用的 Samba VFS VFS 模块 acl_xattr 是唯一允许此行为的上游 Samba 模块,也是重现此安全缺陷的唯一已知方法。如果(默认情况下)模块配置参数为 acl_xattr: ignore system acls=no,那 Samba 服务器不容易受到此攻击。(CVE-2023-4091)

- 在正常操作中,密码和(大多数)密钥永远不会通过 Active Directory 中的 LDAP 泄露。
然而,由于 Samba 的 DirSync 控件实现中存在设计缺陷,被授权执行某些复制(但不能复制敏感属性)的 Active Directory 帐户可以复制关键域密码和密钥。在默认安装下,这意味着 RODC DC 帐户(应仅允许复制某些密码)可以获取所有域密钥,包括核心 AD 密钥:krbtgt 密码。RODC 在安装 DRS 复制时被授予此权限。此漏洞会消除 RODC/DC 的区别。其次,同样存在问题的是,此功能的访问检查并未考虑错误条件 - 内存不足等错误会被视为成功。此种错误有时会被描述为“打开失败”。在这些错误情况下,其中一些错误(例如内存不足)可能会受到低权限攻击者的影响,让攻击者可获取对秘密属性的访问权限!(CVE-2023-4154)

- Samba 开发人员构建了一个名为 rpcecho 的非 Windows RPC 服务器,以在他们的完全控制下测试 Samba DCE/RPC 堆栈中的元素。rpcecho 提供的一项 RPC 功能可能会被阻断(基本上是无限期的),并且由于 rpcecho 服务由主 RPC 任务提供,该任务只有一个工作程序,因此这基本上会拒绝 AD DC 上的所有服务。为解决此问题,rpcecho 服务器已从我们的生产二进制文件中删除,并且设置为仅限自测试版本。(CVE-2023-42669)

- Samba 会以 Active Directory DC 的身份从代码库的两个不同部分运行 RPC 服务。那些专注于 AD DC 的服务会在主 samba 进程中启动,而专注于文件服务器和类似 NT4 DC 的服务则会从新的 samba-dcerpcd 启动,而 samba-dcerpcd 是从文件服务器 (smbd) 任务中按需启动的。启动时,samba-dcerpcd 首先要确认不提供哪些服务,以避免重复放置侦听管理器。此公告中的问题在于,当 Samba 的 RPC 服务器负载不足或没有响应时,并非为 AD DC 构建的服务器(例如,为 NT4-emulation 经典 DC 构建的服务器)可能会错误启动,而且会竞相在相同 UNIX 域的套接字上侦听。随后这便会导致 AD DC 回答部分查询,而另一些则不予回答。这种情况已在多个站点的生产中出现,因为启动 Active Directory 用户和计算机工具时过程编号超出范围,但它也可能被恶意触发,以阻止 AD DC 上的服务。
(CVE-2023-42670)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级受影响的 samba 程序包。

另见

http://www.nessus.org/u?43c806b4

插件详情

严重性: Critical

ID: 182877

文件名: Slackware_SSA_2023-284-03.nasl

版本: 1.5

类型: local

发布时间: 2023/10/11

最近更新时间: 2023/11/14

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2023-3961

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:slackware:slackware_linux:samba, cpe:/o:slackware:slackware_linux, cpe:/o:slackware:slackware_linux:15.0

必需的 KB 项: Host/local_checks_enabled, Host/Slackware/release, Host/Slackware/packages

可利用: true

易利用性: Exploits are available

补丁发布日期: 2023/10/10

漏洞发布日期: 2023/10/10

参考资料信息

CVE: CVE-2023-3961, CVE-2023-4091, CVE-2023-4154, CVE-2023-42669, CVE-2023-42670

IAVA: 2023-A-0535