13.03.2018

Уязвимость BDU:2018-00368

Идентификатор: BDU:2018-00368.

Наименование уязвимости: Уязвимость сервера LDAP пакета программ сетевого взаимодействия Samba, позволяющая нарушителю изменять пароли других пользователей.

Описание уязвимости: Уязвимость сервера LDAP пакета программ сетевого взаимодействия Samba, настроенного как контроллер домена Active Directory, связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, изменять пароли других пользователей
Уязвимое ПО: Сетевое программное средство Samba Team Samba 4.0.0 | Сетевое программное средство Samba Team Samba 4.0.1 | Сетевое программное средство Samba Team Samba 4.0.10 | Сетевое программное средство Samba Team Samba 4.0.11 | Сетевое программное средство Samba Team Samba 4.0.12 | Сетевое программное средство Samba Team Samba 4.0.13 | Сетевое программное средство Samba Team Samba 4.0.14 | Сетевое программное средство Samba Team Samba 4.0.15 | Сетевое программное средство Samba Team Samba 4.0.16 | Сетевое программное средство Samba Team Samba 4.0.17 | Сетевое программное средство Samba Team Samba 4.0.18 | Сетевое программное средство Samba Team Samba 4.0.19 | Сетевое программное средство Samba Team Samba 4.0.2 | Сетевое программное средство Samba Team Samba 4.0.20 | Сетевое программное средство Samba Team Samba 4.0.21 | Сетевое программное средство Samba Team Samba 4.0.22 | Сетевое программное средство Samba Team Samba 4.0.23 | Сетевое программное средство Samba Team Samba 4.0.24 | Сетевое программное средство Samba Team Samba 4.0.3 | Сетевое программное средство Samba Team Samba 4.0.4 | Сетевое программное средство Samba Team Samba 4.0.5 | Сетевое программное средство Samba Team Samba 4.0.6 | Сетевое программное средство Samba Team Samba 4.0.7 | Сетевое программное средство Samba Team Samba 4.0.8 | Сетевое программное средство Samba Team Samba 4.0.9 | Сетевое программное средство Samba Team Samba 4.1 | Сетевое программное средство Samba Team Samba 4.1.1 | Сетевое программное средство Samba Team Samba 4.1.10 | Сетевое программное средство Samba Team Samba 4.1.11 | Сетевое программное средство Samba Team Samba 4.1.12 | Сетевое программное средство Samba Team Samba 4.1.13 | Сетевое программное средство Samba Team Samba 4.1.14 | Сетевое программное средство Samba Team Samba 4.1.15 | Сетевое программное средство Samba Team Samba 4.1.16 | Сетевое программное средство Samba Team Samba 4.1.17 | Сетевое программное средство Samba Team Samba 4.1.18 | Сетевое программное средство Samba Team Samba 4.1.19 | Сетевое программное средство Samba Team Samba 4.1.2 | Сетевое программное средство Samba Team Samba 4.1.20 | Сетевое программное средство Samba Team Samba 4.1.21 | Сетевое программное средство Samba Team Samba 4.1.22 | Сетевое программное средство Samba Team Samba 4.1.23 | Сетевое программное средство Samba Team Samba 4.1.3 | Сетевое программное средство Samba Team Samba 4.1.5 | Сетевое программное средство Samba Team Samba 4.1.6 | Сетевое программное средство Samba Team Samba 4.1.7 | Сетевое программное средство Samba Team Samba 4.1.8 | Сетевое программное средство Samba Team Samba 4.1.9 | Сетевое программное средство Samba Team Samba 4.2 | Сетевое программное средство Samba Team Samba 4.2.0 Rc1 | Сетевое программное средство Samba Team Samba 4.2.0 Rc2 | Сетевое программное средство Samba Team Samba 4.2.0 Rc3 | Сетевое программное средство Samba Team Samba 4.2.0 Rc4 | Сетевое программное средство Samba Team Samba 4.2.1 | Сетевое программное средство Samba Team Samba 4.2.10 | Сетевое программное средство Samba Team Samba 4.2.11 | Сетевое программное средство Samba Team Samba 4.2.12 | Сетевое программное средство Samba Team Samba 4.2.13 | Сетевое программное средство Samba Team Samba 4.2.14 | Сетевое программное средство Samba Team Samba 4.2.2 | Сетевое программное средство Samba Team Samba 4.2.3 | Сетевое программное средство Samba Team Samba 4.2.4 | Сетевое программное средство Samba Team Samba 4.2.5 | Сетевое программное средство Samba Team Samba 4.2.6 | Сетевое программное средство Samba Team Samba 4.2.7 | Сетевое программное средство Samba Team Samba 4.2.8 | Сетевое программное средство Samba Team Samba 4.2.9 | Сетевое программное средство Samba Team Samba 4.2rc4 | Сетевое программное средство Samba Team Samba 4.3 | Сетевое программное средство Samba Team Samba 4.3.1 | Сетевое программное средство Samba Team Samba 4.3.10 | Сетевое программное средство Samba Team Samba 4.3.11 | Сетевое программное средство Samba Team Samba 4.3.13 | Сетевое программное средство Samba Team Samba 4.3.2 | Сетевое программное средство Samba Team Samba 4.3.3 | Сетевое программное средство Samba Team Samba 4.3.4 | Сетевое программное средство Samba Team Samba 4.3.5 | Сетевое программное средство Samba Team Samba 4.3.6 | Сетевое программное средство Samba Team Samba 4.3.7 | Сетевое программное средство Samba Team Samba 4.3.8 | Сетевое программное средство Samba Team Samba 4.3.9 | Сетевое программное средство Samba Team Samba 4.4 | Сетевое программное средство Samba Team Samba 4.4 rc3 | Сетевое программное средство Samba Team Samba 4.4 rc4 | Сетевое программное средство Samba Team Samba 4.4.0 Rc2 | Сетевое программное средство Samba Team Samba 4.4.1 | Сетевое программное средство Samba Team Samba 4.4.10 | Сетевое программное средство Samba Team Samba 4.4.11 | Сетевое программное средство Samba Team Samba 4.4.12 | Сетевое программное средство Samba Team Samba 4.4.14 | Сетевое программное средство Samba Team Samba 4.4.15 | Сетевое программное средство Samba Team Samba 4.4.16 | Сетевое программное средство Samba Team Samba 4.4.2 | Сетевое программное средство Samba Team Samba 4.4.3 | Сетевое программное средство Samba Team Samba 4.4.4 | Сетевое программное средство Samba Team Samba 4.4.5 | Сетевое программное средство Samba Team Samba 4.4.6 | Сетевое программное средство Samba Team Samba 4.4.7 | Сетевое программное средство Samba Team Samba 4.4.8 | Сетевое программное средство Samba Team Samba 4.4.9 | Сетевое программное средство Samba Team Samba 4.5 | Сетевое программное средство Samba Team Samba 4.5.1 | Сетевое программное средство Samba Team Samba 4.5.10 | Сетевое программное средство Samba Team Samba 4.5.12 | Сетевое программное средство Samba Team Samba 4.5.13 | Сетевое программное средство Samba Team Samba 4.5.14 | Сетевое программное средство Samba Team Samba 4.5.15 | Сетевое программное средство Samba Team Samba 4.5.2 | Сетевое программное средство Samba Team Samba 4.5.3 | Сетевое программное средство Samba Team Samba 4.5.4 | Сетевое программное средство Samba Team Samba 4.5.5 | Сетевое программное средство Samba Team Samba 4.5.6 | Сетевое программное средство Samba Team Samba 4.5.7 | Сетевое программное средство Samba Team Samba 4.6 | Сетевое программное средство Samba Team Samba 4.6.1 | Сетевое программное средство Samba Team Samba 4.6.11 | Сетевое программное средство Samba Team Samba 4.6.4 | Сетевое программное средство Samba Team Samba 4.6.6 | Сетевое программное средство Samba Team Samba 4.6.7 | Сетевое программное средство Samba Team Samba 4.6.8 | Сетевое программное средство Samba Team Samba 4.7.3 | Операционная система ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» | Операционная система АО «НТЦ ИТ РОСА» РОСА Кобальт — | Операционная система АО «НТЦ ИТ РОСА» ROSA Fresh — | Операционная система АО «НТЦ ИТ РОСА» РОСА RED — |

Наименование ОС и тип аппаратной платформы: Astra Linux Common Edition 212 «Орёл» | РОСА Кобальт — | ROSA Fresh — | РОСА RED — |
Дата выявления: 13.03.2018.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)

Возможные меры по устранению:
Использование рекомендаций:
Для Samba:

https://www.samba.org/samba/security/CVE-2018-1057.html

Для Astra Linux:
Обновление программного обеспечения (пакета samba) до 2:4.5.12+dfsg-2+deb9u1 или более поздней версии

Для ОС РОСА КОБАЛЬТ:
http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-04-02.003
http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-03-17.001.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2018-1057.
Прочая информация: —
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://bugzilla.redhat.com/show_bug.cgi?id=1553553
https://www.samba.org/samba/security/CVE-2018-1057.html
https://access.redhat.com/security/cve/cve-2018-1057
http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-04-02.003
http://wiki.rosalab.ru/ru/index.php/ROSA-SA-18-03-17.001

Автор: ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.

Комментарии: