Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

Badlock Scherheitsschwachstelle in Samba - CVE-2016-2118

Status
Resolved
Impact
Important
Red Hat Product Security wurde auf einen Protokollfehler in DCE/RPC->basierten SAMR und LSA Protokollen hingewiesen, die in der Microsoft Windows Active Directory Infrastruktur verwendet werden. Dieses Problem wurde zugewiesen CVE-2016-2118 und wird bewertet als Wichtig. Verwandte Schwachstellen im Bereich Moderat bis Kritisch sind beschrieben in Kritische Sicherheitsschwachstellen in Samba veröffentlicht am 12.April 2016 , und ebenfalls öffentlich zugänglich gemacht.
Note: Dies ist ein Protokollfehler und betrifft alle Anwendungen, die dieses Protokoll implementieren, einschließlich Samba - CVE-2016-2118 , und Microsoft Windows - CVE-2016-0128.

Hintergrundinformationen

DCE/RPC ist die Spezifikation für einen RemoteProcedure Call Mechanismus, der sowohl APIs als auch Protokoll über das Netzwerk definiert. Das entfernte Protokoll Security Account Manager (SAM) (Client-an-Server) bietet Verwaltungs-Funktionen für Account-Speicher oder Verzeichnis, das Benutzer und Gruppen enthält. Das Protokoll exponiert die "Account Datenbank" sowohl für lokale als auch für entfernte Microsoft Active Directory Domains. Das entfernte Protokoll Local Security Authority (Domain Policy) wird verwendet, um verschiedene Sicherheitsrichtlinien von Rechner und Domain zu verwalten. Mit wenigen Ausnahmen ermöglicht dieses Protokoll Szenarien entfernter Richtlinien-Verwaltung. Sowohl SAMR als auch LSA Protokolle basieren auf dem DCE 1.1 RPC Protokoll.
Diese Protokolle sind gewöhnlich für alle Windows Installationen sowie für alle Samba Server verfügbar. Sie werden verwendet, um die Security Account Manager Datenbank zu verwalten. Dies gilt für alle Rollen (beispielsweise Standalone, Domain-Controller, oder Domain-Mitglied).

Danksagung

Red Hat möchte dem Samba Projekt für die Meldung dieses Problems danken. Upstream erkennt Stefan Metzmacher (SerNet) als ursprünglichen Berichterstatter an.

Betroffene Produkte

Die Auswirkung dieses Problems wurde von der Red Hat Product Security als Wichtig bewertet. Verwandte Schwachstellen im Bereich Moderat bis Kritisch sind beschrieben in Kritische Sicherheitsschwachstellen in Samba veröffentlicht am 12.April 2016 , und wurden ebenfalls öffentlich zugänglich gemacht. Zusätzliche Informationen zu Badlock finden Sie in Additional information on Badlock can be found in Badlock: SAMR und LSA Protokoll Man-in-the-Middle Angriff gegen Samba (CVE-2016-2118) .

Folgende Red Hat Produktversionen sind betroffen:

  • Red Hat Enterprise Linux 4*
  • Red Hat Enterprise Linux 5
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Red Hat Gluster Storage 3
Alle Versionen von Samba Paketen die mit dem Red Hat Enterprise Linux Server und Red Hat Gluster Storage geliefert werden, sind von diesem Fehler betroffen.

*Sie benötigen eine aktive ELS Subskription um auf diesen Patch in RHEL 4 zuzugreifen. Bitte kontaktieren Sie Red Hat Sales oder Ihren entsprechenden Sales Representative, um zu erfahren, ob Ihr Account eine aktive ELS Subskription hat.

Was ist Red Hat Enterprise Linux Extended Life Cycle Support Add-On (ELS)?

Beschreibung und Auswirkung des Angriffs

Jede authentifizierte DCE/RPC Verbindung, die ein Client an einen Server öffnet, könnte von einem Man-in-the-Middle Angreifer verwendet werden, um die Identität eines authentifizierten Benutzers gegen den SAMR oder LSA Dienst auf dem Server anzunehmen. Daher könnte der Angreifer read/write Zugriff zur Datenbank des Security Account Managers erlangen, wodurch möglicherweise alle Passwörter und weitere sensible Informationenen offengelegt werden könnten.
Das vom Client-ausgewählte Anwendungsprotokoll, Authentifizierungstyp (beispielsweise Kerberos oder NTLMSSP), und Authentifizierungsebene (NONE, CONNECT, SIGN, oder SEAL) sind in diesem Fall unbedeutend. Ein Man-in-the-Middle Angreifer könnte gegebenenfalls die Authentifizierungsebene auf CONNECT herabstufen und die Verbindung übernehmen. Das Badlock-Problem sowie eine Reihe von CVEs wurde behoben, die Dokumentation finden Sie hier:

Das Gefahrenpotenzial verstehen

Für Kunden, die Samba als Domain-Mitglied in AD-Umgebung verwenden:

  • Festzustellen durch: 'security = ads' in der smb.conf Datei
    • Wir empfehlen Ihnen zu samba3x (3.6) auf RHEL5 oder zu RHEL6/samba (3.6) oder zu RHEL7/samba (4.2) zu migrieren
    • Migration erfolgt nicht automatisch, sie muss geplant werden, besonders um IDMAP, da es dort Änderungen in 3.0 -> 3.6 und 3.6 -> 4.x gab

Für Kunden, die Samba als Domain-Mitglied in NT-Umgebung verwenden:

  • Festzustellen durch: 'security = domain' in der smb.conf Datei
    • Wir empfehlen Ihnen zu samba3x (3.6) auf RHEL5 oder zu RHEL6/samba (3.6) oder zu RHEL7/samba (4.2) zu migrieren
    • Migration erfolgt nicht automatisch, sie muss geplant werden, besonders um IDMAP, da es dort Änderungen in 3.0 -> 3.6 und 3.6 -> 4.x gab

Für Kunden, die Samba als Datei-Server benutzen:

  • Festzustellen durch: 'security = user' oder 'security = ads' oder 'security = domain', oder 'security = standalone' und Freigaben, die in der smb.conf Datei definiert sind
    • Wir empfehlen Ihnen zu samba3x (3.6) auf RHEL5 oder zu RHEL6/samba (3.6) oder zu RHEL7/samba (4.2) zu migrieren
    • Migration erfolgt nicht automatisch, sie muss geplant werden, besonders um IDMAP, da es dort Änderungen in 3.0 -> 3.6 und 3.6 -> 4.x gab

Häufig gestellte Fragen

  1. Ich habe meine Samba Server und Clients aktualisiert, muss irgendetwas neu gestartet werden?
    • Nein, wenn das Update auf Ihrem System angewendet wurde, wird der smb Dienst automatisch neu gestartet.
  2. Muss ich sowohl die Samba Server, als auch die Samba Clients in meiner Infrastruktur reparieren?
    • Wenigstens Samba Server sollten aktualisiert werden. Da Badlock ein Protokollfehler ist, können je nach Konfiguration der Samba-Infrastruktur sowohl die Server als auch die Clients betroffen sein. Red Hat Product Security empfiehlt den Kunden sowohl Server als auch Clients zu aktualisieren.
  3. Beeinträchtigen die aktualisierten Patches meine vorhandenen Clients, die ältere Versionen von Samba ausführen?
    • Diese Sicherheitsempfehlung verschärft einige Sicherheitsoptionen, die zur Konfiguration von Samba verwendet werden. Dies kann einer Konfiguration schaden, wenn ein Samba Server aktualisiert wird, der Client jedoch nicht. Es ist möglich zu früheren, unsichereren Optionen zurückzukehren, damit die Interoperatibiltät weiterhin möglich ist (zum Beispiel durch die Einstellung allow dcerpc auth level connect = yes in der smb.conf Datei), aber Red Hat Product Security empfiehlt nachdrücklich, das nicht zu tun, da damit auch einige Angriffsvektoren wieder eingeführt werden.
  4. Meine Samba Server Instanzen sind nicht mit Windows Domains verbunden, bin ich dennoch angreifbar?
    • Ja, wenn ein Admin-Benutzer mit einem Samba Server über einen nicht-sicheren Client kommuniziert oder er einen sicheren Client benutzt um mit einem unsicheren Samba Server zu kommunizieren, könnte ein Man-in-the-Middle Angreifer die Schwachstelle auf diese Art möglicherweise ausnutzen.
  5. Schützt Verschlüsselung vor diesem MITM Angriff?
    • Das SMB Protokoll entschlüsselt standardmäßig nur Anmeldeinformationen und Befehle, während Dateien in einfachem Text übertragen werden. Es wird empfohlen, dass in sicherheitsrelevanten und vertraulichen Szenarien Verschlüsselung verwendet wird um alle Kommunikationen zu schützen. Verschlüsselung wurde in Samba in Version 3.2 hinzugefügt, aber nur für Samba Clients. Microsoft hat Support für SMB Verschlüsselung zu SMB 3.0 in Windows 8 und Windows Server 2012 hinzugefügt. Dennoch schützen beide Verschlüsselungs-Typen nur Kommunikationen wie Dateiübertragungen, nachdem SMB-Verhandlung und Befehle abgeschlossen wurden. Diese Phase enthält die oben hervorgehobene Schwachstelle. Samba/SMB Verschlüsselung ist eine gute Übung, aber kein ausreichender Schutz vor dieser Schwachstelle.
  6. Welche Versionen von Samba sind korrigiert?
    • Red Hat aktualisiert Pakete (Samba, Samba3x, Samba4) für Samba Versionen 4.2, 4.1, 4.0, 3.6, & 3.0 in allen derzeit unterstützten Produkten, einschließlich notwendiger Abhängigkeiten wie IPA, OpenChange und Bibliotheken libtalloc, libtdb and libevent.

Betroffene Konfigurationen

Eine Active Directory Infrastruktur mit einem Samba Server als Domain-Mitglied ist anfällig für diesen Fehler. Ein Man-in-the-Middle Angreifer könnte DCE/RPC Datenverkehr zwischen dem Domain-Mitglied und dem Domain-Controller abfangen um die Identität des Clients anzunehmen und dieselben Berechtigungen erlangen wie der authentifizierte Benutzer-Account.
Jeder Samba Server, der als a Datei- oder Druckserver konfiguriert ist, ist auch anfällig für diesen Fehler.

Updates für betroffene Produkte

Red Hat Enterprise Linux 4 - Extended Lifecycle Support* samba (v3.0) RHSA-2016:0625
Red Hat Enterprise Linux 5 samba (v3.0) RHSA-2016:0621
Red Hat Enterprise Linux 5 samba3x (v3.6) RHSA-2016:0613
Red Hat Enterprise Linux 5.6 Long Life samba (v3.0) RHSA-2016:0623
Red Hat Enterprise Linux 5.6 Long Life samba3x (v3.6) RHSA-2016:0624
Red Hat Enterprise Linux 5.9 Long Life samba (v3.0) RHSA-2016:0623
Red Hat Enterprise Linux 5.9 Long Life samba3x (v3.6) RHSA-2016:0624
Red Hat Enterprise Linux 6 samba (v3.6) RHSA-2016:0611
Red Hat Enterprise Linux 6 samba4 (v4.0) RHSA-2016:0612
Red Hat Enterprise Linux 6.2 Fortgeschrittener Update-Support** samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.2 Fortgeschrittener Update-Support** samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.4 Fortgeschrittener Update-Support** samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.4 Fortgeschrittener Update-Support** samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.5 Fortgeschrittener Update-Support** samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.5 Fortgeschrittener Update-Support** samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.6 Erweiterter Update-Support samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.6 Erweiterter Update-Support samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 7 samba (v4.2) RHSA-2016:0612
Red Hat Enterprise Linux 7.1 Erweiterter Update-Support samba (v4.1) RHSA-2016:0618
Red Hat Gluster Storage 3 (EL6) samba (v4.2) RHSA-2016:0614
Red Hat Gluster Storage 3 (EL7) samba (v4.2) RHSA-2016:0614

*Eine aktive ELS Subskription ist erforderlich, um auf diesen Patch in RHEL 4 zuzugreifen. Bitte kontaktieren Sie Red Hat Sales oder Ihren entsprechenden Sales Representative um zu erfahren, ob Ihr Account eine aktive ELS Subskription hat.

Was ist Red Hat Enterprise Linux Extended Life Cycle Support Add-On (ELS)?

**Eine aktive AUS Subskription ist erforderlich um auf diesen Patch in RHEL 6.X AUS zuzugreifen.

Vorbeugung

Das Risiko kann reduziert werden, indem beim Zugriff auf SMB/CIFS Dienste keine privilegierten Accounts benutzt werden, bis ein Paket zur Fehlerbehebung angewendet wurde. Begrenzen Sie administrativen Zugriff auf physische Hardware (Konsole, Server), damit die Authentifizierung keine Netzwerkkommunikation benötigt.

Lösung

Neue smb.conf Konfigurationsoption
Dieses Update führt folgende neue Konfigurationsoption der smb.conf Datei ein:
allow dcerpc auth level connect (G)
Diese Option steuert, ob DCE/RPC Dienste mit DCERPC_AUTH_LEVEL_CONNECT verwendet werden können, was Authentifizierung ermöglicht, aber keine Integrität pro-Nachricht (SIGN) und kein Datenschutz (SEAL).
Manche Schnittstellen, wie SAMR, LSARPC, und netlogon haben den hartkodierten Standard Nein; epmapper, mgmt, und rpcecho haben den hartkodierten Standard Ja.
Das Verhalten kann überschrieben werden durch den Schnittstellennamen (beispielsweise lsarpc, netlogon, samr, srvsvc, winreg, oder wkssvc) durch die Angabe 'allow dcerpc auth level connect:interface = yes'.
Diese Option erteilt Vorrang vor allen Implementierungs-spezifischen Beschränkungen. Zum Beispiel:
  • Die drsuapi und backupkey Protokolle erfordern DCERPC_AUTH_LEVEL_PRIVACY;
  • Das dnsserver Protokoll erfordert DCERPC_AUTH_LEVEL_INTEGRITY.
Standard: allow dcerpc auth level connect = no
Beispiel: allow dcerpc auth level connect = yes

Subscriber exclusive content

A Red Hat subscription provides unlimited access to our knowledgebase of over 48,000 articles and solutions.

Current Customers and Partners

Log in for full access

Log In
Close

Welcome! Check out the Getting Started with Red Hat page for quick tours and guides for common tasks.