GLSA-202402-28：Samba：多个漏洞

critical Nessus 插件 ID 190761

语言：

描述

远程主机受到 GLSA-202402-28 中所述漏洞的影响（Samba：多个漏洞）

- 在 Samba 的 LDAP 服务器中发现信息泄漏漏洞。由于缺少访问控制检查，经过身份验证的非特权攻击者可在 LDAP 存储中发现已删除对象的名称及保留属性。(CVE-2018-14628)

- 在 Samba 中发现越界读取漏洞，这是因为 winbindd_pam_auth_crap.c 中存在长度检查不足问题。执行 NTLM 认证时，客户端会将加密质询回复给服务器。这些回复具有可变长度，而 Winbind 未检查 lan 管理器的响应长度。将 Winbind 用于 NTLM 认证时，通过恶意构建的请求可在 Winbind 中触发越界读取，进而可能导致程序崩溃。(CVE-2022-2127)

- 在 Samba 的 SMB2 数据包签名机制中发现漏洞。如果管理员配置了“服务器签名 = 必需”，或必须进行 SMB2 数据包签名才能将 SMB2 连接到域控制器，则不强制执行 SMB2 数据包签名。此缺陷允许攻击者通过拦截网络流量并修改客户端与服务器之间的 SMB2 消息来执行攻击（例如中间人攻击），从而影响数据的完整性。(CVE-2023-3347)

- 在处理连接到私有目录中的 Unix 域套接字的客户端管道名称时，Samba 中发现了路径遍历漏洞。Samba 通常用于将 SMB 客户端连接到远程过程调用 (RPC) 服务，例如 Samba 按需启动的 SAMR LSA 或 SPOOLSS。
然而，由于传入客户端管道名称的清理不充分，允许客户端发送包含 Unix 目录遍历字符 (../) 的管道名称。这可能会导致 SMB 客户端以 root 身份连接到私有目录之外的 Unix 域套接字。如果攻击者或客户端设法使用现有的 Unix 域套接字发送解析到外部服务的管道名称，则可能会导致对服务的未经授权的访问以及随之而来的不良事件，包括妥协或服务崩溃。(CVE-2023-3961)

- Samba 中发现了一个漏洞，该漏洞允许 SMB 客户端截断文件，即使在使用 acl_xattr 配置 Samba VFS 模块 acl_xattr:ignore system acls = yes 时，即使具有只读权限也是如此。SMB 协议允许打开客户端请求只读访问的文件，但如果客户端指定单独的 OVERWRITE 创建配置，则会将已打开的文件隐式截断为 0 字节。该问题出现在绕过内核文件系统权限检查、仅依赖 Samba 权限的配置中。(CVE-2023-4091)

- Samba 的 DirSync 控制实现中发现了一个设计缺陷，该缺陷将 Active Directory 中的密码和机密暴露给特权用户和只读型域控制器 (RODC)。此缺陷允许 RODC 和拥有 GET_CHANGES 权限的用户访问所有属性，包括敏感机密和密码。即使在默认设置中，RODC DC 帐户（只应复制一些密码）也可以访问所有域机密，包括重要的 krbtgt，从而有效消除 RODC / DC 的区别。此外，该漏洞无法考虑错误情况（打开失败），例如内存不足的情况，即使在低特权攻击者的影响下，也可能授予对秘密属性的访问权限。(CVE-2023-4154)

- 在 Samba 的 Spotlight mdssvc RPC 服务中发现无限循环漏洞。解析由客户端发送的 Spotlight mdssvc RPC 数据包时，核心解组函数 sl_unpack_loop() 未验证类数组结构中包含元素计数的网络数据包中的字段。通过传递 0 作为计数值，受到攻击的函数将在死循环中运行，占用全部 CPU。此缺陷允许攻击者发出畸形 RPC 请求，从而触发无限循环，导致拒绝服务条件。(CVE-2023-34966)

- 在 Samba 的 Spotlight mdssvc RPC 服务中发现类型混淆漏洞。解析 Spotlight mdssvc RPC 数据包时，一个编码的数据结构是键值样式字典，其中的键是字符串，值可以是 mdssvc 协议中任何受支持的类型。由于 dalloc_value_for_key() 函数的调用方（返回与密钥关联的对象）缺少类型检查，因此当 talloc 检测到传入的指针并非有效的 talloc 指针时，调用方可在 talloc_get_size() 中触发崩溃。由于在多个客户端连接之间共享 RPC 工作进程，恶意客户端或攻击者可在共享的 RPC mdssvc 工作进程中触发进程崩溃，从而影响此工作线程服务的所有其他客户端。(CVE-2023-34967)

- 在 Samba 中发现路径泄露漏洞。作为 Spotlight 协议的一部分，Samba 会在搜索查询的结果中泄露共享、文件和目录的服务器端绝对路径。此缺陷允许恶意客户端或攻击者通过目标 RPC 请求查看属于遭泄露路径的信息。(CVE-2023-34968)

- 在 Samba 的 rpcecho 开发服务器中发现一个漏洞，该服务器是用于测试 Samba 的 DCE/RPC 堆栈元素的非 Windows RPC 服务器。此漏洞源自从可无限期被封锁的 RPC 功能。出现此问题的原因是 rpcecho 服务在主 RPC 任务中仅通过一个工作程序运行，从而导致对 rpcecho 服务器的调用受到指定时间的封锁，进而造成服务中断。此次服务中断是在特定情况下由 dcesrv_echo_TestSleep() 函数中的 sleep() 调用触发的。经过身份验证的用户或攻击者均可利用此漏洞调用 rpcecho 服务器，请求其在特定的持续时间内封锁调用，从而有效地中断大多数服务并在 AD DC 上造成完全拒绝服务的情形。DoS 会影响所有其他服务，因为 rpcecho 是在主 RPC 任务中运行。(CVE-2023-42669)

- 在 Samba 中发现一个缺陷。它很容易受到一个漏洞的影响，可以启动多个不兼容的 RPC 侦听器，从而导致 AD DC 服务中断。当 Samba 的 RPC 服务器遇到高负载或无响应时，用于非 AD DC 用途的服务器（例如 NT4 模拟经典 DC）可能会错误启动并竞争相同的 UNIX 域套接字。此问题会导致 AD DC 的部分查询响应，从而导致使用 Active Directory 用户等工具时出现“过程编号超出范围”等问题。此缺陷允许攻击者破坏 AD DC 服务。
(CVE-2023-42670)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。