Samba のセキュリティー脆弱性「Badlock」- CVE-2016-2118

Public Date: April 12, 2016, 13:47
Updated April 15, 2016, 11:07 - Chinese, Simplified 英語 French Korean
Resolved 状態
Important Impact
Red Hat Product セキュリティーチームは、Microsoft Windows Active Directory インフラストラクチャーで使用されている DCE/RPC- ベースの SAMR および LSA プロトコルの脆弱性を認識しています。 CVE-2016-2118 で対応されているこの脆弱性の影響度は「重要な影響」と評価されています。2016 年 4 月 12 日に発表された Samba における重大なセキュリティー脆弱性で説明されている影響度が「中程度の影響」から「重大な影響」と評価されている他の関連する脆弱性についても一般に公開されています。
注記: これはプロトコルの問題であるため、Samba (CVE-2016-2118) およびd Microsoft Windows (CVE-2016-0128) を含む、このプロトコルを実装するすべてのアプリケーションに影響を与えます。

背景情報

DCE/RPC は、API およびネットワーク上のプロトコルの両方を定義するリモートプロシージャーコールメカニズムの仕様です。セキュリティーアカウントマネージャー (SAM) リモートプロトコル (クライアントとサーバー間) は、ユーザーおよびグループを含むアカウントストアまたはディレクトリーの管理機能を提供します。このプロトコルは、ローカルとリモートの Microsoft Active Directory ドメインの「アカウントデータベース」を公開します。Local Security Authority (ドメインポリシー) リモートプロトコルは、各種のマシンおよびドメインのセキュリティーポリシーを管理するために使用されます。このプロトコルは、重要性の低い例外はあるものの、リモートポリシーの管理シナリオを可能にします。SAMR と LSA プロトコルはどちらも DCE 1.1 RPC プロトコルに基づいています。
これらのプロトコルは通常、すべての Samba サーバーのほかにもすべての Windows インストールで利用できます。これらはセキュリティーアカウントマネージャーデータベースを維持するために使用されます。これはすべてのロールに適用されます (スタンドアロン、ドメインコントローラー、またはドメインメンバーなど)。

謝辞

Red Hat は Samba プロジェクトがこの問題を報告してくださったことに感謝の意を表します。また、この脆弱性の最初の報告者である Stefan Metzmacher (SerNet) に対してもアップストリームから感謝の意を表します。

影響を受ける製品

この問題については、Red Hat Product セキュリティーチームによってセキュリティーの影響度が「重要な影響」 と評価されています。2016 年 4 月 12 日に発表された Samba における重大なセキュリティー脆弱性で説明されている影響度が「中程度の影響」から「重大な影響」と評価されている他の関連する脆弱性についても一般に公開されています。Badlock についての詳細情報は以下を参照してください。Badlock: Samba に対する SAMR および LSA プロトコルの中間者攻撃 (CVE-2016-2118)

以下の Red Hat 製品のバージョンが影響を受けます。

  • Red Hat Enterprise Linux 4*
  • Red Hat Enterprise Linux 5
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 7
  • Red Hat Gluster Storage 3
Red Hat Enterprise Linux サーバーおよび Red Hat Gluster Storage に同梱された Samba パッケージのすべてのバージョンがこの脆弱性による影響を受けます。

*RHEL 4 のこのパッチを入手するには、アクティブな ELS サブスクリプションが必要です。ご使用のアカウントにアクティブな ELS サブスクリプションがない場合は、詳細について Red Hat 営業部門または営業担当者までお問い合わせください。

Red Hat Enterprise Linux 延長ライフサイクルサポートアドオン (ELS) とは

攻撃の詳細と影響

クライアントがサーバーに対して開始する認証された DCE/RPC 接続は、サーバー上の SAMR または LSA サービスに対する、中間者による認証ユーザーのなりすましに使用される可能性があります。その結果、攻撃者はセキュリティーアカウントマネージャーデータベースへの読み取り/書き込みアクセスを取得でき、すべてのパスワードと機密情報となり得るすべての情報を表示できる可能性があります。
ここでは、クライアントで選択されるアプリケーションプロトコル、認証タイプ (Kerberos または NTLMSSP など)、および認証レベル (NONE、CONNECT、SIGN、または SEAL) が何であるかは重要ではありません。中間者攻撃により、認証レベルを CONNECT にダウングレードして接続を奪取できる可能性があります。Badlock の問題は以下に記載の一連の CVE で修正されています。

脆弱性にさらされる危険について

AD 環境のドメインメンバーとして Samba を使用するお客様の場合:

  • 検出方法: 'security = ads' (smb.conf ファイル内)
    • RHEL5 の samba3x (3.6) への移行、RHEL6/samba (3.6) への移行、または RHEL7/samba (4.2) への移行を推奨します。
    • 移行は自動的に行われません。3.0 -> 3.6 および 3.6 -> 4.x で変更があったため、とりわけ IDMAP に関連して移行計画が必要です。

NT 環境のドメインメンバーとして Samba を使用するお客様の場合:

  • 検出方法: 'security = domain' (smb.conf ファイル内)
    • RHEL5 の samba3x (3.6) への移行、RHEL6/samba (3.6) への移行、または RHEL7/samba (4.2) への移行を推奨します。
    • 移行は自動的に行われません。3.0 -> 3.6 および 3.6 -> 4.x で変更があったため、とりわけ IDMAP に関連して移行計画が必要です。

Samba をファイルサーバーとして使用するお客様の場合:

  • 検出方法: 'security = user' または 'security = ads' または 'security = domain'、または 'security = standalone' および共有 (smb.conf ファイルで定義)
    • RHEL5 の samba3x (3.6) への移行、RHEL6/samba (3.6) への移行、または RHEL7/samba (4.2) への移行を推奨します。
    • 移行は自動的に行われません。3.0 -> 3.6 および 3.6 -> 4.x で変更があったため、とりわけ IDMAP に関連して移行計画が必要です。

よくある質問

  1. パッチを Samba サーバーに適用しましたが、何を再起動する必要がありますか?
    • いいえ。更新がシステムで適用されると、smb サービスは自動的に再起動されます。
  2. 使用するインフラストラクチャーで Samba サーバーおよび Samba クライアントの両方にパッチを適用する必要はありますか?
    • 少なくとも Samba サーバーを更新する必要があります。Badlock はプロトコルの脆弱性であるため、Samba インフラストラクチャーの設定によってサーバーとクライアントの両方が影響を受ける可能性があります。Red Hat Product セキュリティーチームはサーバーとクライアントの両方を更新することを推奨します。
  3. 更新されたパッチにより、古いバージョンの Samba を実行する既存のクライアントに支障が生じる可能性ありますか?
    • このセキュリティーアドバイザリーでは Samba を設定するために使用されるセキュリティーオプションの一部を制限してます。これにより、Samba サーバーは更新されるがクライアントは更新されない場合に設定が破損する可能性があります。相互運用性を継続的に確保するために古く安全でないオプションにロールバックすることはできますが (たとえば smb.conf ファイルに allow dcerpc auth level connect = yes を設定する)、Red Hat Product セキュリティーチームは、これにより一部の攻撃ベクトルが再度導入されることになるため、これを実行しないことを強く推奨します。
  4. Samba サーバーインスタンスは Windows ドメインに接続されていませんが、それでも脆弱性の影響を受けますか?
    • はい。管理者ユーザーが安全ではないクライアントを使用して Samba サーバーと通信するか、または安全なクライアントを使用して安全ではない Samba サーバーと通信する場合、中間者攻撃でこの脆弱性が悪用される可能性があります。
  5. 暗号化はこの中間者攻撃 (MITM) の保護策となりますか?
    • SMB プロトコルは、デフォルトでファイルをプレーンテキストで転送する一方で、認証情報とコマンドを暗号化します。セキュリティーおよびプライバシーの保護が重要となる状況では、すべての通信を保護するために暗号を使用することを推奨します。暗号化はバージョン 3.2 の Samba に追加されていますが、Samba クライアントの場合に限られます。Microsoft は SMB 暗号化サポートを Windows 8 および Windows Server 2012 の SMB 3.0 に追加しました。ただし、これらの暗号化は、ファイル転送などの通信のみを保護し、SMB ネゴシエーションやコマンドの実行後に機能します。上記の脆弱性はこのフェーズで含まれるため、Samba/SMB 暗号化は良い取り組みですが、この脆弱性に対する保護策としては不十分です。
  6. どのバージョンの Samba が修正されていますか?
    • Red Hat は、現在サポートされているすべての製品に対して Samba バージョン 4.2、4.1、4.0、3.6、& 3.0 のパッケージ (samba、samba3x、samba4) を更新しています (必要に応じて IPA、OpenChange、および libtalloc、libtdb および libevent ライブラリーなどの依存関係も含む)。

影響を受ける設定

Samba サーバーをドメインメンバーとする Active Directory インフラストラクチャーはこの不具合に対して脆弱です。中間者攻撃により、ドメインメンバーとドメインコントローラー間の DCE/RPC トラフィックが傍受され、クライアントのなりすましや認証ユーザーアカウントと同じ特権の取得が行われる可能性があります。 -
ファイルまたはプリントサーバーとして設定されたすべての Samba サーバーもこの不具合に対して脆弱です。

影響を受ける製品の更新

Red Hat Enterprise Linux 4 - Extended Lifecycle Support* samba (v3.0) RHSA-2016:0625
Red Hat Enterprise Linux 5 samba (v3.0) RHSA-2016:0621
Red Hat Enterprise Linux 5 samba3x (v3.6) RHSA-2016:0613
Red Hat Enterprise Linux 5.6 Long Life samba (v3.0) RHSA-2016:0623
Red Hat Enterprise Linux 5.6 Long Life samba3x (v3.6) RHSA-2016:0624
Red Hat Enterprise Linux 5.9 Long Life samba (v3.0) RHSA-2016:0623
Red Hat Enterprise Linux 5.9 Long Life samba3x (v3.6) RHSA-2016:0624
Red Hat Enterprise Linux 6 samba (v3.6) RHSA-2016:0611
Red Hat Enterprise Linux 6 samba4 (v4.0) RHSA-2016:0612
Red Hat Enterprise Linux 6.2 Advanced Update Support** samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.2 Advanced Update Support** samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.4 Advanced Update Support** samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.4 Advanced Update Support** samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.5 Advanced Update Support** samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.5 Advanced Update Support** samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 6.6 Extended Update Support samba (v3.6) RHSA-2016:0619
Red Hat Enterprise Linux 6.6 Extended Update Support samba4 (v4.0) RHSA-2016:0620
Red Hat Enterprise Linux 7 samba (v4.2) RHSA-2016:0612
Red Hat Enterprise Linux 7.1 Extended Update Support samba (v4.1) RHSA-2016:0618
Red Hat Gluster Storage 3 (EL6) samba (v4.2) RHSA-2016:0614
Red Hat Gluster Storage 3 (EL7) samba (v4.2) RHSA-2016:0614

*RHEL 4 のこのパッチを入手するには、アクティブな ELS サブスクリプションが必要です。ご使用のアカウントにアクティブな ELS サブスクリプションがない場合は、詳細について Red Hat 営業部門または営業担当者までお問い合わせください。

Red Hat Enterprise Linux 延長ライフサイクルサポートアドオン (ELS) とは

**RHEL 6.X AUS のパッチを入手するには、アクティブな AUS サブスクリプションが必要です。

軽減策

リスクの軽減策として、修正の含まれるパッケージが適用されるまで、特権付きのアカウントを使用して SMB/CIFS サービスにアクセスしないようにすることができます。認証にネットワーク通信が伴わないように管理者アクセスを物理ハードウェア (コンソール、サーバー) に制限してください。

解決策

新規の smb.conf 設定オプション
更新には、以下の新規の smb.conf ファイル設定オプションが導入されています。
allow dcerpc auth level connect (G)
このオプションは、DCE/RPC サービスを DCERPC_AUTH_LEVEL_CONNECT と共に使用できるかどうかを制御します。 DCERPC_AUTH_LEVEL_CONNECT は、メッセージの整合性 (SIGN) やプライバシー保護 (SEAL) に基づかない認証を提供します。
SAMR、LSARPC および netlogon などのインターフェースにはハードコーディングされたデフォルト値の no が使用され、 epmapper、mgmtおよび rpcecho にはハードコーディングされたデフォルト値の yes が使用されます。
動作は、'allow dcerpc auth level connect:interface = yes' と指定することで、インターフェース名 (例: lsarpc netlogon、samr、srvsvc、winreg、 または wkssvc) について上書きできます。
実装固有の制限はこのオプションよりも優先されます。以下は例になります。
  • drsuapi および backupkey プロトコルには DCERPC_AUTH_LEVEL_PRIVACY が必要です。
  • dnsserver プロトコルには DCERPC_AUTH_LEVEL_INTEGRITY が必要です。
デフォルト: allow dcerpc auth level connect = no
例: allow dcerpc auth level connect = yes

Comments