Atualize o Samba para corrigir vulnerabilidades críticas

O Samba é uma ferramenta de código aberto (re-implementação do protocolo de rede SMB) que funciona na maioria dos sistemas operacionais disponíveis hoje, incluindo o Windows, Linux, Unix, IBM System 390 e OpenVMS. Ele permite que sistemas operacionais que não sejam Windows, como o GNU/Linux ou Mac OS X, compartilhem diretórios, arquivos e impressoras com o Windows.

Também possui o código-fonte aberto (re-implementação do protocolo de rede SMB) que funciona na maioria dos sistemas operacionais disponíveis hoje, incluindo Windows, Linux, UNIX, IBM System 390 e OpenVMS.

O Samba acaba de receber novas correções de duas vulnerabilidades críticas que podem permitir que Hackers realizem ataques DoS, bem como alterar senhas de outros usuários, incluindo os de administração.

1 – Negação de serviço (CVE-2018-1050)

Esta vulnerabilidade de negação de serviço, identificada no CVE-2018-1050, afeta todas as versões do Samba a partir da 4.0.0 e pode ser explorada quando o serviço RPC spoolss está configurado para ser executado como um daemon externo.

“A falta de uma verificação mais eficiente em alguns dos parâmetros de entrada nas chamadas do RPC spoolss, pode fazer com que o serviço de spool de impressão entre em crash. Se este serviço for configurado por padrão como um serviço interno, um cliente conectado e autenticado, terá a sua sessão travada”, diz o Samba.

1.1 – Solução alternativa

Tenha certeza que o parâmetro:

rpc_server:spoolss = external

Não esteja setado na seção Global do arquivo smb.conf.

Maiores informações podem ser consultadas neste link.

1.2 – Aplicando o patch manualmente (Samba compilado)

Neste endereço, Você verá as correções a serem baixadas para as vulnerabilidades descritas no CVE-2018-1050 e CVE-2018-1057.

Samba Security Releases

Samba Security Releases

Por exemplo, para aplicar o patch na versão 4.7.5, siga os seguintes passos:

$ wget https://www.samba.org/samba/ftp/patches/security/samba-4.7.5-security-2018-03-13.patch
$ sudo patch -p0 < samba-4.7.5-security-2018-03-13.patch

O mesmo procedimento pode ser executado para aplicar o patch nas outras versões.

1.3 – Atualizando o Samba via gerenciador de pacotes

Creio que esta seja o caminho mais fácil. Atualize o seu Samba via gerenciador de pacotes, conforme a distribuição GNU/Linux utilizada. Esperamos que a sua distro já contenha os últimos pacotes.

1.3.1 – Debian/Ubuntu

Ao executar o comando abaixo, o sistema verificará que Samba já está instalado, ao mesmo tempo se ele possui alguma atualização. Caso possua, uma nova versão será instalada.

sudo apt install samba4
1.3.2 – CentOS/Fedora/Red Hat

O comando abaixo simplesmente atualizará o Samba:

sudo yum update samba

2 – Alteração de senhas de outros usuários via LDAP (CVE-2018-1057)

Identificado sob o código CVE-2018-1057, esta vulnerabilidade permite que usuários autenticados, e que possuam perfis não elevados, alterem as senhas de outros usuários, incluindo usuários administrativos (ex: administradores do domínio), por meio do protocolo LDAP.

A falha na redefinição de senha existe em todas as versões à partir da 4.0.0, mas funciona apenas na implementação do Samba Active Directory DC, que não valida corretamente as permissões dos usuários quando estes solicitam a alteração de senha.

2.1 – Soluções alternativas

2.1.1 – Revogando as permissões de alteração de senha

Revogue a permissão de alteração de senha para todos os usuários/objetos (incluindo também computadores), deixando a permissão de alteração somente para o próprio usuário da senha em questão.

Os mantenedores criam um script que auxilia neste procedimento. Ele pode ser executado em um dos DCs (Domains Controllers), mas seria mais eficiente executá-lo em todos os DCs, a fim de evitar latências de replicação, especialmente quando mais de um site é utilizado.

Primeiramente realize o download do script:

wget https://download.samba.org/pub/samba/misc/samba_CVE-2018-1057_helper

Em seguida:

samba_CVE-2018-1057_helper --lock-pwchange

Uma vez que o CVE-2018-1057 esteja aplicado, execute o comando abaixo para reverter a edição do banco de dados:

samba_CVE-2018-1057_helper --unlock-pwchange

O schema será modificado para garantir que o mesmo seja feito para novas contas de usuários.

Obs: Note que (por causa de usuários expirados não poderem logar via LDAP ou SAMR) isso impedirá que sejam capazes de alterar suas próprias senhas utilizando outras contas via estes dois protocolos.

Portanto, se clientes não-Windows estiverem em uso, a validade máxima da senha deverá ser alterada para um valor que impeça que as senhas expirem quando a solução alternativa estiver sendo usada.

samba-tool domain passwordsettings set --max-pwd-age=365

Outras soluções alternativas poderão ser encontradas neste link.

2.2 – Outras maneiras de se atualizar

Utilize os passos descritos nos ítens 1.2 e 1.3 para aplicar os patches de correção nesta vulnerabilidades.

Atualize!

Os mantenedores do Samba disponibilizaram correções para as novas versões (4.7.6, 4.6.14 e 4.5.16) e pedem que os administradores atualizem os servidores vulneráveis imediatamente. Muitos servidores podem estar potencialmente em risco, já que o Samba vem com uma ampla gama de distribuições Linux.

Se você estiver executando uma versão mais antiga do Samba, procure nesta página para os patches disponíveis.

Fonte:

https://thehackernews.com/2018/03/samba-server-vulnerability.html

https://www.samba.org/samba/security/CVE-2018-1050.html

https://www.samba.org/samba/security/CVE-2018-1057.html

 

O Analista

Adoro letras verdes sob um fundo preto...