Disponibilité des versions de sécurité SAMBA+ 4.17.4, 4.16.8 et 4.15.13
SAMBA+ 4.17.4, 4.16.8 et 4.15.13 viennent d'être publiés. Il s'agit de versions de sécurité importantes, veuillez mettre à jour les systèmes affectés dès que possible. Les paquets sont disponibles pour diverses plateformes SUSE et Red Hat ainsi que pour Debian GNU/Linux, Ubuntu et AIX.
Veuillez noter qu'il y a plusieurs changements de comportement importants inclus dans ces versions, qui peuvent causer des problèmes de compatibilité en interagissant avec le système qui s'attend encore à l'ancien comportement. En particulier les systèmes plus anciens que Windows 7, Windows 2008R2 et Samba 4.0 sont affectés ici. Des systèmes comme NetApp ONTAP peuvent également être affectés. Veuillez lire attentivement les notes de version et les avis :
- Notes de version pour Samba 4.17.4
- Notes de version pour Samba 4.16.8
- Notes de version pour Samba 4.15.13
Les paquets traitent les problèmes liés à la sécurité suivants :
- CVE-2022-37966 rc4-hmac Clés de session Kerberos émises vers des serveurs modernes
Il s'agit du CVE Samba pour la vulnérabilité d'élévation de privilège Windows Kerberos RC4-HMAC divulguée par Microsoft le 8 novembre 2022.
Un DC Active Directory de Samba émettra des clés de session rc4-hmac faibles pour une utilisation entre des clients et des serveurs modernes malgré toutes les implémentations Kerberos modernes supportant le chiffrement aes256-cts-hmac-sha1-96.
Sur les DC et les membres Samba Active Directory, 'kerberos encryption types = legacy' forcerait rc4-hmac en tant que client même si le serveur prend en charge aes128-cts-hmac-sha1-96 et/ou aes256-cts-hmac-sha1-96.
- CVE-2022-37967 Falsification de ticket de délégation contrainte Kerberos possible contre Samba AD DC
Il s'agit du CVE Samba pour la vulnérabilité d'élévation de privilège de Windows Kerberos divulguée par Microsoft le 8 novembre 2022.
Un compte de service avec la permission spéciale de délégation contrainte pourrait forger un ticket plus puissant que celui qui lui a été présenté.
- CVE-2022-38023 Le canal sécurisé NetLogon RC4/HMAC-MD5 est faible et doit être évité
La protection "RC4" du canal sécurisé NetLogon utilise les mêmes algorithmes que la cryptographie rc4-hmac dans Kerberos, et doit donc également être considérée comme faible.
Les paquets SAMBA+ 4.15.13 adressent en outre :
- CVE-2022-45141 Samba AD DC utilisant Heimdal peut être forcé à émettre des tickets Kerberos chiffrés rc4-hmac
Depuis que la vulnérabilité Windows Kerberos RC4-HMAC Elevation of Privilege a été divulguée par Microsoft le 8 novembre 2022 et par RFC8429, on suppose que rc4-hmac est faible.
Les DCs Samba Active Directory vulnérables émettront des tickets chiffrés rc4-hmac malgré le fait que le serveur cible prenne en charge un meilleur chiffrement (par exemple, aes256-cts-hmac-sha1-96).