Error de seguridad Badlock en Samba - CVE-2016-2118
### Información de fondo
Reconocimientos
Productos impactados
Este problema ha sido evaluado por Red Hat Product Security como de impacto Importante . Otras vulnerabilidades relacionadas, clasificadas entre Moderadas y Críticas y descritas en el Critical Security Flaws en el lanzamiento de Samba el 12 de abril de 2016 , también se han hecho públicas. Se puede encontrar información adicional sobre Badlock en Badlock: SAMR and LSA protocol man-in-the-middle attack against Samba (CVE-2016-2118) .
Se han afectado las siguientes versiones de Red Hat Product:
- Red Hat Enterprise Linux 4*
- Red Hat Enterprise Linux 5
- Red Hat Enterprise Linux 6
- Red Hat Enterprise Linux 7
- Red Hat Gluster Storage 3
*Se requiere una suscripción activa de ELS para poder acceder a este parche en RHEL 4. Si su cuenta no tiene una suscripción ELS activa. Por favor contacte a ventas de Red Hat o a su representante específico de ventas para obtener más información.
¿Qué significa Red Hat Enterprise Linux Extended Life Cycle Support Add-On (ELS)?
Descripción del ataque e impacto
- Fallos de seguridad crítica en el lanzamiento de Samba el 12 de abril de 2016 (CVE-2015-5370, CVE-2016-2110, CVE-2016-2111, CVE-2016-2112, CVE-2016-2113, CVE-2016-2114, CVE-2016-2115, CVE-2016-2118).
Exposición
Para los clientes que utilizan Samba como un miembro de dominio en un entorno AD:
-
¿Cómo detectar: 'security = ads' en el archivo smb.conf?
- Recomendamos migrar a samba3x (3.6) en RHEL5 o migrar a RHEL6/samba (3.6), o migrar a RHEL7/samba (4.2)
- La migración no es automática, se necesita que sea planificada, en particular, alrededor de IDMAP ya que hubo cambios en 3.0 -> 3.6 y 3.6 -> 4.x
Para los clientes que usan Samba como un miembro de dominio en un entorno NT:
-
¿Cómo detectar: 'security = domain' en el archivo smb.conf?
- Recomendamos migrar a samba3x (3.6) en RHEL5 o migrar a RHEL6/samba (3.6), o migrar a RHEL7/samba (4.2)
- La migración no es automática, se necesita que sea planificada, en particular, alrededor de IDMAP ya que hubo cambios en 3.0 -> 3.6 y 3.6 -> 4.x
Para los clientes que utilizan Samba como un servidor de archivos:
-
¿Cómo detectar: 'security = user' o 'security = ads' o 'security = domain', o 'security = standalone' y comparticiones definidas en el archivo smb.conf?
- Recomendamos migrar a samba3x (3.6) en RHEL5 o migrar a RHEL6/samba (3.6), o migrar a RHEL7/samba (4.2)
- La migración no es automática, se necesita que sea planificada, en particular, alrededor de IDMAP ya que hubo cambios en 3.0 -> 3.6 y 3.6 -> 4.x
-
-
- Como mínimo, los servidores Samba deben ser actualizados. Debido a que Badlock es un fallo de protocolo, tanto los servidores como los clientes pueden afectarse, según la configuración de la infraestructura de Samba. Red Hat Product Security recomienda a los clientes actualizar los servidores y los clientes.
-
-
Esta recomendación de seguridad refuerza algunas de las opciones de seguridad utilizadas para configurar Samba. Esto puede afectar las configuraciones cuando un servidor Samba esté actualizado, pero el cliente no lo esté. Es posible volver a las opciones anteriores para continuar la interoperatividad, (por ejemplo al establecer
allow dcerpc auth level connect = yes
en el archivosmb.conf
), aunque Red Hat Product Security no lo recomienda, ya que esto reintroduce algunos de los vectores de ataques.
-
Esta recomendación de seguridad refuerza algunas de las opciones de seguridad utilizadas para configurar Samba. Esto puede afectar las configuraciones cuando un servidor Samba esté actualizado, pero el cliente no lo esté. Es posible volver a las opciones anteriores para continuar la interoperatividad, (por ejemplo al establecer
-
- Sí, si un usuario administrador se comunica con un servidor Samba mediante un cliente que no es seguro o usa un cliente seguro para comunicarse con un servidor Samba inseguro, un atacante Hombre-en-el-medio podría, en potencia, aprovechar esta falla.
-
¿El cifrado me protegerá del ataque Hombre-en-el-medio (MITM)?
- El protocolo SMB, solamente cifra las credenciales y comandos cuando los archivos son transferidos en texto plano. Se recomienda que en escenarios de seguridad y confidencialidad se utilice para proteger todas las comunicaciones. El cifrado fue agregado a Samba en versión 3.2, pero únicamente para clientes Samba. Microsoft agregó soporte de cifrado SMB a SMB 3.0 en Windows 8 y Windows Server 2012. Sin embargo, ambos tipos de cifrado solamente protegen comunicaciones, tales como transferencias de archivos, después de que negociación SMB y comandos hayan sido completados. Es esta la fase que contiene la vulnerabilidad resaltada arriba. El cifrado de Samba/SMB es una buena práctica, pero no es suficiente para proteger contra esta vulnerabilidad.
-
- Red Hat está actualizando los paquetes (samba, samba3x, samba4) para las versiones de Samba 4.2, 4.1, 4.0, 3.6, & 3.0 a través de todos los productos que reciben soporte actualmente, incluidas las dependencias donde se requieran, como por ejemplo, IPA, OpenChange y bibliotecas libtalloc, libtdb y libevent.
Actualizaciones por productos afectados
Red Hat Enterprise Linux 4 - Extended Lifecycle Support* | samba (v3.0) | RHSA-2016:0625 | |
Red Hat Enterprise Linux 5 | samba (v3.0) | RHSA-2016:0621 | |
Red Hat Enterprise Linux 5 | samba3x (v3.6) | RHSA-2016:0613 | |
Red Hat Enterprise Linux 5.6 Long Life | samba (v3.0) | RHSA-2016:0623 | |
Red Hat Enterprise Linux 5.6 Long Life | samba3x (v3.6) | RHSA-2016:0624 | |
Red Hat Enterprise Linux 5.9 Long Life | samba (v3.0) | RHSA-2016:0623 | |
Red Hat Enterprise Linux 5.9 Long Life | samba3x (v3.6) | RHSA-2016:0624 | |
Red Hat Enterprise Linux 6 | samba (v3.6) | RHSA-2016:0611 | |
Red Hat Enterprise Linux 6 | samba4 (v4.0) | RHSA-2016:0612 | |
Red Hat Enterprise Linux 6.2 Advanced Update Support** | samba (v3.6) | RHSA-2016:0619 | |
Red Hat Enterprise Linux 6.2 Advanced Update Support** | samba4 (v4.0) | RHSA-2016:0620 | |
Red Hat Enterprise Linux 6.4 Advanced Update Support** | samba (v3.6) | RHSA-2016:0619 | |
Red Hat Enterprise Linux 6.4 Advanced Update Support** | samba4 (v4.0) | RHSA-2016:0620 | |
Red Hat Enterprise Linux 6.5 Advanced Update Support** | samba (v3.6) | RHSA-2016:0619 | |
Red Hat Enterprise Linux 6.5 Advanced Update Support** | samba4 (v4.0) | RHSA-2016:0620 | |
Red Hat Enterprise Linux 6.6 Extended Update Support | samba (v3.6) | RHSA-2016:0619 | |
Red Hat Enterprise Linux 6.6 Extended Update Support | samba4 (v4.0) | RHSA-2016:0620 | |
Red Hat Enterprise Linux 7 | samba (v4.2) | RHSA-2016:0612 | |
Red Hat Enterprise Linux 7.1 Extended Update Support | samba (v4.1) | RHSA-2016:0618 | |
Red Hat Gluster Storage 3 (EL6) | samba (v4.2) | RHSA-2016:0614 | |
Red Hat Gluster Storage 3 (EL7) | samba (v4.2) | RHSA-2016:0614 |
*Se requiere una suscripción activa ELS para acceder a este parche en RHEL 4. Por favor contacte a Red Hat sales o a su representante de ventas específico para obtener más información si su cuenta no tiene una suscripción ELS activa.
¿Qué significa Red Hat Enterprise Linux Extended Life Cycle Support Add-On (ELS)?
*Se requiere una suscripción activa de AUS para poder acceder a este parche en RHEL 6.X AUS.
Comments