Критическая уязвимость в Heimdal Kerberos, затрагивающая Samba 4

В пакете Heimdal Kerberos и реализации протокола Kerberos, поставляемой в Samba, выявлена уязвимость (CVE-2017-11103), позволяющая атакующему притвориться заслуживающим доверия сервисом через организацию MITM-атаки. Уязвимость присвоен критический уровень опасности. В контексте Samba уязвимость позволяет через MITM-атаку имитировать для клиента заслуживающие доверия файловые серверы SMB/CIFS, серверы печати или серверы авторизации.

Проблема вызвана некорректной организацией проверки имени сервиса KDC-REP (Key Distribution Center) при аутентификации доступа клиента к сервису через систему билетов (tickets). Суть проблемы в том, что извлечение имени сервиса KDC-REP производилось из незашифрованного и неаутентифицированнго билета (ticket), в то время как спецификация Kerberos 5 требует извлекать имя сервиса только из зашифрованного и аутентифицированного ответа (‘enc_part’). Извлечение имени сервиса из незашифрованного и неаутентифицированного пакета позволяет атакующему, имеющему возможность вклиниться в транзитный трафик, выдать себя за заслуживающий доверия сервис.

Проблема присутствует с первых версий Heimdal Kerberos, выпущенных в 1996 году, и устранена в Heimdal Kerberos 7.4.0, а также в выпусках Samba 4.6.6, 4.5.12, 4.4.15 (в Samba 4 встроен Heimdal). Уязвимость также затрагивает системы Microsoft на базе Active Directory, например, Windows Server 2008, в которых повторено некорректное поведение протокола. MIT Kerberos проблеме не подвержен, как не подвержены проблеме и исполняемые файлы Samba, собранные с MIT Kerberos.

Уязвимость уже устранена во FreeBSD, Debian, Fedora и Ubuntu. Дистрибутивы SUSE и RHEL проблеме не подвержены (неофициальный heimdal из EPEL уязвим), так как используют MIT Kerberos, а не Heimdal Kerberos.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.