Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

Falla di sicurezza Badlock in Samba - CVE-2016-2118

Public Date:
Updated -
Status
Resolved
Impact
Important
Red Hat Product Security è venuta a conoscenza di una vulnerabilità relativa ai protocolli LSA e SAMR basati su DCE/RPC- ussati nell'infrastruttura Microsoft Windows Active Directory i. Questa vulnerabilità, alla quale è stata assegnata un CVE-2016-2118, ha un impatto Importante Altre vulnerabilità correlate, da quelle Moderate a Critiche e riportate nelle Falle di sicurezza critiche in Samba rilasciate il 12 Aprile 2016 , sono state rese pubbliche.
Nota bene: Questoè un problema relativo al protocollo e interessa tutte le applicazioni relative, incluso Samba - CVE-2016-2118 , e Microsoft Windows - CVE-2016-0128.

Informazioni supplementari

DCE/RPC si riferisce ad un meccanismo di chiamataper una procedura remota in grado di definire il protocollo over-the-network e API. Il protocollo remoto Security Account Manager (SAM) (Client-a-Server) fornisce una funzionalità di gestione per un archivio account o directory contenente gruppi e utenti. Il protocollo espone un "account database" per i domini locali e remoti del Microsoft Active Directory. Il Local Security Authority (Domain Policy) Remote Protocol viene utilizzato per gestire le varie politiche di sicurezza del dominio e della macchina. Questo protocollo, con alcune eccezioni, abilita scenari di gestione della politica remota. I protocolli SAMR e LSA si basano sul protocollo DCE 1.1 RPC.
Generalmente questi protocolli sono disponibili su tutte le installazioni Windows e sui server Samba. Essi vengono utilizzati per gestire il Security Account Manager database, e interessa tutti i ruoli (per esempio, standalone, controller di dominio, o membro del dominio).

Riconoscimenti

Red Hat desidera ringraziare il progetto Samba per aver segnalato questo problema. Upstream riconosce Stefan Metzmacher di SerNet, come la persona che ha segnalato per primo questo problema.

Prodotti interessati

Questa vulnerabilità è stata classificata dal Red Hat Product Security come Importante . Altre vulnerabilità correlate che vanno da Moderate a critiche e riportate nelle Falle critiche di sicurezza in Samba rilasciate il 12 Aprila 2016 , sono state rese pubbliche. Informazioni aggiuntive sul Badlock sono disponibili in Badlock: Attacco di tipo man-in-the-middle dei protocolli LSA e SAMR in Samba (CVE-2016-2118) .

Sono interessate le seguenti versioni:

  • Red Hat Enterprise Linux 4*
  • Red Hat Enterprise Linux 5
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Red Hat Gluster Storage 3
Tutte le versioni dei pacchetti di Samba disponibili con Red Hat Enterprise Linux server e Red Hat Gluster Storage sono interessati a questo tipo di vulnerabilità.

*È necessaria una sottoscrizione attiva ELS per accedere a questo patch in RHEL 4. Contattare la sezione vendite di Red Hat, o il rappresentante specifico della tua area, per maggiori informazioni se il tuo account è sprovvisto di una sottoscrizione attiva ELS.

Cos'è il Red Hat Enterprise Linux Extended Life Cycle Support Add-On (ELS)?

Descrizione e impatto

Qualsiasi connessione DCE/RPC autenticata che un client inizializza con un server, può essere utilizzata da un aggressore di tipo man-in-the-middle in modo da agire come un utente autenticato con il servizio SAMR o LSA sul server. Così facendo l'aggressore sarà in grado di accedere in modalità lettura/scrittura al Security Account Manager database, e ottenere tutte le password e qualsiasi altra informazione riservata.
In questo caso non ha importanza il tipo di protocollo-dell'applicazione scelto dal client, il tipo diautenticazione (per esempio, Kerberos o NTLMSSP), o il livello diautenticazione (NONE, CONNECT, SIGN, o SEAL). Un attacco di tipo man-in-the-middle è in grado di ridurre il livello di autenticazione a CONNECT e prendere il controllo della connessione. Badlock è stato risolto insieme altri CVE di seguito documentati:

Esposizione

Per i clienti che utilizzano Samba come membro del dominio in un ambiente AD:

  • Come rilevare: 'security = ads' in un file smb.conf
    • È consigliato migrare a samba3x (3.6) su RHEL5, o migrare a RHEL6/samba (3.6), o migrare a RHEL7/samba (4.2)
    • Il processo di migrazione non è automatico, è necessario eseguire una pianificazione corretta, in particolare con IDMAP, a causa di alcune modifiche in 3.0 -> 3.6 e 3.6 -> 4.x

Per i clienti che utilizzano Samba come membro del dominio in un ambiente NT:

  • Come rilevare: 'security = domain' in un file smb.conf
    • È consigliato migrare a samba3x (3.6) su RHEL5, o migrare a RHEL6/samba (3.6), o migrare a RHEL7/samba (4.2)
    • Il processo di migrazione non è automatico, è necessario eseguire una pianificazione corretta, in particolare con IDMAP, a causa di alcune modifiche in 3.0 -> 3.6 e 3.6 -> 4.x

Per i clienti che utilizzano Samba come file server:

  • Come rilevare: security = user' o 'security = ads' o 'security = domain', o 'security = standalone' e condivisioni definite in un file smb.conf
    • È consigliato migrare a samba3x (3.6) su RHEL5, o migrare a RHEL6/samba (3.6), o migrare a RHEL7/samba (4.2)
    • Il processo di migrazione non è automatico, è necessario eseguire una pianificazione corretta, in particolare con IDMAP, a causa di alcune modifiche in 3.0 -> 3.6 e 3.6 -> 4.x

Domande frequenti

  1. Ho aggiornato i miei server e client Samba, devo aggiornare qualcos'altro?
    • No, dopo aver aggiornato il sistema il servizio smb verrà riavviato automaticamente
  2. Devo applicare il patch sia sui client che sui server di Samba presenti nella mia infrastruttura?
    • È consigliato aggiornare almeno i server Samba. Poichè Badlock è una falla che riguarda il protocollo, in base alla configurazione dell'infrastruttura di Samba, sia i server che i client possono essere interessati a questa vulnerabilità. Red Hat Product Security consiglia ai propri utenti di aggiornare sia i client che i server.
  3. I patch aggiornati possono danneggiare i miei client esistenti con versioni più vecchie di Samba?
    • Questa security advisory limita alcune delle opzioni di sicurezza usate per configurare Samba. Ciò può impattare negativamente sulle configurazioni quando un server Samba viene aggiornato senza aggiornare il client. È possibile implementare le opzioni più vecchie e meno sicure per continuare ad avere una certa interoperabilità (per esempio impostando `allow dcerpc auth level connect = yes` nel file `smb.conf`), tuttavia Red Hat Product Security consiglia vivamente di non eseguire questa operazione poichè, così facendo, è possibile esporsi nuovamente ad alcuni degli attacchi precedentemente risolti.
  4. Le mie istanze del server Samba non sono collegate ad alcun Dominio di Windows, questa vulnerabilità mi può ancora riguardare?
    • Si poichè se un utente amministrativo comunica con un server Samba usando un client non-sicuro, o utilizza un client sicuro per comunicare con un server Samba non sicuro, un aggressore di tipo man-in-the-middle sarà in grado di sfruttare questo tipo di vulnerabilità.
  5. La cifratura è in grado di proteggermi da questo attacco MITM?
    • Per impostazione predefinita il protocollo SMB cifra solo le credenziali e i comandi, mentre il trasferimento dei file avviene in testo semplice. Per proteggere tutte le comunicazioni è consigliato utilizzare un sistema di cifratura ogni qualvolta si è in presenza di informazioni riservate. La cifratura è stata introdotta con la versione 3.2 di Samba, ma solo per i client di Samba. Microsoft ha implementato il supporto per la cifratura SMB per SMB 3.0 in Windows 8 e Windows Server 2012. Tuttavia questi due tipi di cifratura proteggono solo le comunicazioni, come ad esempio il trasferimento dei file, dopo aver completato i comandi e la negoziazione SMB. Questa è la fase più delicata durante la quale è possibile sfruttare la vulnerabilità sopra indicata. La cifratura Samba/SMB è un buon inizio ma non è sufficiente per una protezione contro questo tipo di vulnerabilità.
  6. Quale versione di Samba è già stata aggiornata?
    • Red Hat è in procinto di aggiornare i pacchetti (samba, samba3x, samba4) relativi a Samba 4.2, 4.1, 4.0 su tutti i prodotti supportati, incluso le dipendenze li dove necessario, ad esempio IPA, OpenChange e libraries libtalloc, libtdb e libevent.

Configurazioni interessate

Una infrastruttura dell'Active Directory con un server Samba come membro del dominio è vulnerabile a questo tipo di falla. Un attacco di tipo man-in-the-middle può intercettare il traffico DCE/RPC tra il membro del dominio e il controllore del dominio comportandosi come client, ottenendo così gli stessi privilegi di un account utente autenticato.
Qualsiasi server Samba configurato come un file o server di stampa è vulnerabile a questo tipo di falla.

Aggiornamenti per prodotti interessati

Red Hat Enterprise Linux 4 - Extended Lifecycle Support* samba (v3.0) RHSA-2016:0625
Red Hat Enterprise Linux 5 samba (v3.0) RHSA-2016:0621
Red Hat Enterprise Linux 5 samba3x (v3.6) RHSA-2016:0613
Red Hat Enterprise Linux 5.6 Long Life samba (v3.0) RHSA-2016:0623
Red Hat Enterprise Linux 5.6 Long Life samba3x (v3.6) RHSA-2016:0624
Red Hat Enterprise Linux 5.9 Long Life samba (v3.0) RHSA-2016:0623
Red Hat Enterprise Linux 5.9 Long Life samba3x (v3.6) RHSA-2016:0624
Red Hat Enterprise Linux 6 samba (v3.6) RHSA-2016:0611
Red Hat Enterprise Linux 6 samba4 (v4.0) RHSA-2016:0612
Red Hat Enterprise Linux 6.2 Advanced Update Support** samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.2 Advanced Update Support** samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.4 Advanced Update Support** samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.4 Advanced Update Support** samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.5 Advanced Update Support** samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.5 Advanced Update Support** samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.6 Extended Update Support samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.6 Extended Update Support samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 7 samba (v4.2) RHSA-2016:0612
Red Hat Enterprise Linux 7.1 Extended Update Support samba (v4.1) RHSA-2016:0618
Red Hat Gluster Storage 3 (EL6) samba (v4.2) RHSA-2016:0614
Red Hat Gluster Storage 3 (EL7) samba (v4.2) RHSA-2016:0614

*È necessaria una sottoscrizione attiva ELS per accedere a questo patch in RHEL 4. Contattare la sezione vendite di Red Hat o il rappresentante specifico della tua area per maggiori informazioni, se il tuo account è sprovvisto di una sottoscrizione attiva ELS.

Cos'è il Red Hat Enterprise Linux Extended Life Cycle Support Add-On (ELS)?

**È necessaria una sottoscrizione attiva AUS per accedere a questo patch in RHEL 6.X AUS.

Come attenuare i rischi

Non utilizzare account privilegiati per accedere ai servizi SMB/CIFS fino a quando non è stato implementato un pacchetto con la correzione. Limitare l'accesso amministrativo all'hardware fisico (console, server), così facendo l'autenticazione non avrà bisogno di utilizzare la rete.

Risoluzione

Nuova opzione di configurazione smb.conf
Questo aggiornamento introduce la seguente nuova opzione di configurazione del file smb.conf:
allow dcerpc auth level connect (G)
Questa opzione controlla se i servizi DCE/RPC sono utilizzabili con DCERPC_AUTH_LEVEL_CONNECT, fornendo così l'autenticazione, senza alcuna integrità del messaggio (SIGN) o protezione della privacy (SEAL).
Alcune interfacce come SAMR, LSARPC, e netlogon hanno una impostazione predefinita protetta su no; epmapper, mgmt, e rpcecho presentano una impostazione predefinita protetta su yes.
Il comportamento può essere modificato per nome dell'interfaccia (per esempio, lsarpc, netlogon, samr, srvsvc, winreg, o wkssvc) specificando 'allow dcerpc auth level connect:interface = yes'.
Questa opzione ha precedenza su qualsiasi limitazione specifica al-tipo di implementazione. Per esempio:
  • Iprotocolli drsuapi e backupkey necessitano di CERPC_AUTH_LEVEL_PRIVACY;
  • Il protocollo dnsserver necessita di DCERPC_AUTH_LEVEL_INTEGRITY.
Default: allow dcerpc auth level connect = no
Esempio: allow dcerpc auth level connect = yes

Subscriber exclusive content

A Red Hat subscription provides unlimited access to our knowledgebase of over 48,000 articles and solutions.

Current Customers and Partners

Log in for full access

Log In

New to Red Hat?

Learn more about Red Hat subscriptions

Share

Google+ Twitter Facebook
Close

Welcome! Check out the Getting Started with Red Hat page for quick tours and guides for common tasks.