Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Krytyczna podatność w Sambie. Atakujący może zdalnie uzyskać uprawnienia root. CVE-2021-44142
Informację o luce CVE-2021-44142, znalezionej przez znanego badacza Orange Tsai, przekazała ekipa Samby:
This vulnerability allows remote attackers to execute arbitrary code as root on affected Samba installations that use the VFS module vfs_fruit.
Podatność występuje w domyślnej konfiguracji wyżej wskazanego modułu, a jej CVSS score został określony na aż 9.9/10:
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:F/RL:O/RC:C
Base score 9.9.
Warto też dodać, że warunki wykorzystania nie są na razie w pełni precyzyjnie określone, chociaż ekipa Samby wspomina, że czasem nieautoryzowane uprawnienia root można uzyskać z konta guest lub zupełnie bez uwierzytelnienia:
The specific flaw exists within the parsing of EA metadata when opening files in smbd. Access as a user that has write access to a file’s extended attributes is required to exploit this vulnerability. Note that this could be a guest or unauthenticated user if such users are allowed write access to file extended attributes.
Podatność jest załatana w wersjach Samby 4.13.17, 4.14.12 and 4.15.5
Lukę łatają kolejne dystrybucje Linuksa, a sporo pracy mogą mieć też producenci urządzeń. Western Digital pisze np. tak:
Western Digital will not be ready for a Jan 31 disclosure. Our engineers are in Asia and will be celebrating Chinese New Year. They plan to incorporate the fix beginning 2/18. I suspect it will take a few days from there. Can we delay the disclosure till the end of Feb?
~Michał Sajdak
Wow, kilka dni później niż inne portale :) ale lepiej późno niż wcale. Mam pytania. Czy domyślanie sama używa fruit? Czy jeśli się nie zadeklarowało w smb.conf vfs.fruit to jest się również podatnym?
W sensie jak kilka dni później? ;) Bo newsa wrzuciliśmy dokładnie tego samego dnia, kiedy był disclosure na stronach Samby ;)
Co do dodatkowych informacji to może pomóc:
https://www.zerodayinitiative.com/blog/2022/2/1/cve-2021-44142-details-on-a-samba-code-execution-bug-demonstrated-at-pwn2own-austin
Tak, sorki mój błąd, kierowałem się popupem od googla o nowym poście a nie faktyczną datą publikacji :) Przepraszam. Dzięki za link :)