Impact sur Samba de "ZeroLogon" CVE-2020-1472

L'équipe Samba a été informée d'un problème qui s'applique à Samba utilisé comme contrôleur de domaine uniquement (à la fois en tant que DC classique/NT4 et en tant que DC de directive active). Veuillez lire attentivement le texte suivant, que nous publions également ici: 

Des utilisateurs de Samba ont signalé que l'exploit pour "ZeroLogin" passe contre Samba. Samba dispose d'une certaine protection contre ce problème car, depuis Samba 4.8, la valeur par défaut est 'server schannel = yes'. Les utilisateurs qui ont modifié cette valeur par défaut sont avertis par la présente que Samba implémente fidèlement le protocole AES de connexion au réseau et qu'il est donc victime du même défaut dans la conception du système de cryptage.

Les fournisseurs prenant en charge Samba 4.7 et les versions inférieures doivent mettre à jour leurs installations et leurs paquets pour modifier cette valeur par défaut, comme les valeurs de:

  • server schannel = no
  • server schannel = auto

ne sont PAS sûres et nous pensons qu'elles peuvent entraîner la compromission d'un domaine complet, en particulier pour les domaines AD.

Certains tests d'exploitation publics, tels que https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py confirment uniquement qu'un appel ServerAuthenticate3 fonctionne, mais pas que l'appel ServerPasswordSet2 nécessaire pour exploiter le domaine fonctionne également.

Comme Microsoft, nous suggérons que "server schannel = yes" soit défini pour un fonctionnement sécurisé. Il s'agit de notre équivalent de la clé de registre FullSecureChannelProtection=1 de Microsoft, à la différence qu'elle est déjà activée par défaut dans toutes les versions majeures de Samba publiées au cours des trois dernières années.

Enfin, notons que la journalisation de l'audit de Samba enregistrera les appels ServerAuthenticate3 et ServerPasswordSet, y compris l'IP source, des détails seront fournis plus tard sur les options à activer.

Il semble que certains logiciels anciens exigent toujours "server schannel = auto". Voir les bogues suivants:

Nous allons ajouter un renforcement supplémentaire qui permettra aux administrateurs d'utiliser "server schannel = yes" de manière globale et de définir des exceptions uniquement pour des comptes informatiques spécifiques. Notre progression peut être suivie via ce bogue: https://bugzilla.samba.org/show_bug.cgi?id=14497

Note

Attention! Les textes ont été automatiquement traduits de l'anglais. Si vous constatez des inexactitudes, veuillez nous contacter par e-mail à l'adresse kontakt@remove-this.sernet.de.

Newsletter

La bulletin d'information Samba de SerNet vous informe sur tous les développements et événements importants avec un accent particulier sur les nouveaux paquets.

+ s'abonner à la Bulletins

RSS Feed

Ne manquez plus les actualités de SAMBA+ ? Lisez les dernières nouvelles dans le lecteur de flux RSS de votre choix.

+ subscribe to RSS feed

SAMBA+ Shop

Acheter les abonnements aux logiciels et budgets de support. Les abonnements SAMBA+ sont disponibles pour 1, 2 et 3 ans dans la SAMBA+ shop.

+ visiter la US Shop ($)

+ visiter la World Shop (€)

Contact us
Contact

Nous sommes là pour vous!

Notre équipe de vente se fera un plaisir de répondre à toutes vos questions sur les produits et services Samba de la SerNet - personnellement et individuellement adaptés à vos besoins.

Vous pouvez nous appeler directement au +1 (415) 248-7818
ou en dehors des Etats-Unis à +49 551 370000-0.
Nous envoyer un courrier à sales@remove-this.sernet.com.

Contactez nous!

linke Spalte
rechte Spalte
captcha
* champs obligatoires
Deutsch English Français