BDU:2022-04687: Уязвимость сетевой файловой системы Samba, связанная с ошибками при проведении процедуры аутентификации, позволяющая нарушителю изменить пароль произвольного пользователя и получить полный доступ к учетной записи

Описание уязвимости Уязвимость сетевой файловой системы Samba связана с ошибками при проведении процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, изменить пароль произвольного пользователя и получить полный доступ к учетной записи
Вендор ООО «РусБИТех-Астра», Canonical Ltd., Сообщество свободного программного обеспечения, ООО «Ред Софт», Samba Team, АО "НППКТ"
Наименование ПО Astra Linux Special Edition (запись в едином реестре российских программ №369), Ubuntu, Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Samba, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 18.04 (Ubuntu)
  • 20.04 (Ubuntu)
  • 11 (Debian GNU/Linux)
  • 12 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • 22.04 LTS (Ubuntu)
  • до 4.16.4 (Samba)
  • до 4.15.9 (Samba)
  • до 4.14.14 (Samba)
  • 4.7 (Astra Linux Special Edition)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Ошибки управления ключами
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 27.07.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение поддержки протокола kpasswd, путем добавления в файл smb.conf строки «kpasswd port = 0».

Использование рекомендаций:
https://www.samba.org/samba/security/CVE-2022-32744.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-32744

Для Ubuntu:
https://ubuntu.com/security/CVE-2022-32744

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux Special Edition 1.7 архитектуры x86-64:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения samba до версии 2:4.15.9+repack-osnova0

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение аутентификации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения