Bizi takip edin
Mantis
SambaBox 3.0.3 Versiyonu Yayında
Profelis Bilişim ve Danışmanlık Profelis Bilişim ve Danışmanlık
DuyuruGüncelleme
02/11/2020

SambaBox’ın önemli bir güvenlik güncelleştirmesini içeren yeni sürümü yayınlandı. Güncellemelerinizi kendiniz uygulayabileceğiniz gibi SambaBox uzmanları tarafından yapılmasını isterseniz https://mantis.profelis.com.tr üzerinden talep oluşturabilirsiniz.

Profelis Samba Paketi

Sürüm: 4.12.9-15

  • CVE-2020-14318: SMB1/2/3 ChangeNotify’da eksik işleme izinleri kontrolü.
  • CVE-2020-14323: Sıradan kullanıcı windbind çalışmasını bozabilir.
  • CVE-2020-14383: Kimliği doğrulanmış bir kullanıcı, özel hazırlanmış kayıtlarla DCE / RPC DNS’i bozabilir.

SambaBoxGUI

Sürüm: 3.0.3

  • TLS için web servisi düzeltildi.
  • Küçük hatalar düzeltildi.  

Detaylar

CVE-2020-14318: 

SMB1/2/3 protokolleri “ChangeNotify” konseptini barındırır. Bu yapı ile istemci bir dizin içerisinde “yeni dosya yaratma” veya “dosya boyutu değişimi” ya da “dosya zamandamgası güncellemesi” durumlarında dosya adının bildirilmesini ister.
ChangeNotify isteği gönderimi için, dizin yönetiminde eksik izinlerin kontrolü yapılması gerekir. Bu izinler ile istemci sadece FILE_READ_ATTRIBUTES (minimum erisim) yetkisi kullanarak sunucudan değişiklik bilgisi yanıtını almalıdır. Bu yanıtları içeren bilgiler dizinlere erişim için sadece FILE_READ_ATTRIBUTE şeklinde olmamalıdır.

CVE-2020-14323:

Winbind 3.6 ve sonraki versiyonlarında, RPC çağrılarında birden fazla SID yi isme çevirebilme özelliği bulunur. Bu özellik performansı arttırmak için eklenmiştir.
Gerekçeler: Aktive Directory dizin yöneticisi olarak birden fazla SID tek bir RPC çağrısı üzerinden isme çevrilebilir. Doğal olarak Samba bu otomatik işlemleri winbind üzerinde unix dizin soketi ile yapan eklentiler sunar. Böylece dizin hizmetlerinde network paketlerini azaltarak dizin servisi hizmetini çok daha hızlı sunar. Düzgün girdi kontrolü yapılmadığından elle özel olarak değiştirilmiş paketler ile winbind opetasyonlarının NULL pointer ataması ile durdurulması ve mümkün olabilir.

CVE-2020-14383:

Bazı DNS kayıtları (MX ve NS gibi) ek bazı bilgiler içerebilir. Samba dnsserver RPC pipe’ları (sadece yönetimseldir, DNS servisinin kendisi için değildir), eksik/hatalı kayıtlar, ayarlanmamış bellekler gibi RPC sunucunun hata vermesine sebep olabilecek durumlara karşı kontroller içerir. RPC sunucu dnsservis dışındaki protokollerde de hizmet sunar. Bu servis yeniden başladığında kısa bir bekleme olur. RPC sunucu kimlik doğrulamasını yapmış ve yönetici haklarında olmayan bir kullanıcı tarafından bu esnada yapılan bir saldırı sonucu Samba servisi çalışmaya devam etse de bir çok RPC servisi çalışmayacaktır.

Güncelleme SambaBox
-
Related Posts
Yeni

Kayıtlar Başladı!

PostgreSQL 13 Associate Certification Sınavına Yönelik Eğitim İçin Kayıtlar Başladı
Detaylı Bilgi

Eğitim Bilgi Formu

Egitim Talebi

KVKK Aydınlatma Metini'ni okuyun.

Image link
Image link
Close
Search

Hit enter to search or ESC to close

cookie Kullanılan çerezler web sitesinin çalışması için gereklidir ve kapatılamaz. Bu çerezler yalnızca sizin işlemlerinizi gerçekleştirmek için ayarlanmıştır. Bu çerezleri kendi tarayıcınızdan kapatmanız durumunda sitenin bazı bölümleri çalışmayabilir. Daha fazla bilgi için gizlilik politikamızı inceleyin. Close