security/CVE-2012-6150.html

   1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
   2     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   3 <html xmlns="http://www.w3.org/1999/xhtml">
   4
   5 <head>
   6 <title>Samba - Security Announcement Archive</title>
   7 </head>
   8
   9 <body>
  10
  11    <H2>CVE-2012-6150.html:</H2>
  12
  13 <p>
  14 <pre>
  15 ===========================================================
  16 == Subject:     pam_winbind login without require_membership_of restrictions
  17 ==
  18 == CVE ID#:     CVE-2012-6150
  19 ==
  20 == Versions:    Samba 3.3.10, 3.4.3, 3.5.0 and later
  21 ==
  22 == Summary:     Login of authenticated users is not restricted by the
  23 ==              pam_winbind require_membership_of parameter if it only
  24 ==              specifies invalid group names.
  25 ==
  26 ===========================================================
  27
  28 ===========
  29 Description
  30 ===========
  31
  32 Winbind allows for the further restriction of authenticated PAM logins using
  33 the require_membership_of parameter. System administrators may specify a list
  34 of SIDs or groups for which an authenticated user must be a member of. If an
  35 authenticated user does not belong to any of the entries, then login should
  36 fail. Invalid group name entries are ignored.
  37
  38 Samba versions 3.3.10, 3.4.3, 3.5.0 and later incorrectly allow login from
  39 authenticated users if the require_membership_of parameter specifies only
  40 invalid group names.
  41
  42 This is a vulnerability with low impact. All require_membership_of group
  43 names must be invalid for this bug to be encountered.
  44
  45 ==================
  46 Patch Availability
  47 ==================
  48
  49 Patches addressing this issue have been posted to:
  50
  51     http://www.samba.org/samba/security/
  52
  53 Samba versions 3.6.22, 4.0.13, and 4.1.3 have been released to address this
  54 issue.
  55
  56 ==========
  57 Workaround
  58 ==========
  59
  60 Ensure that the require_membership_of parameter only refers to SIDs or valid
  61 Active Directory group names.
  62
  63 =======
  64 Credits
  65 =======
  66
  67 This problem was found by Noel Power from SUSE who also provided the patch
  68 to fix the issue.
  69
  70 ==========================================================
  71 == Our Code, Our Bugs, Our Responsibility.
  72 == The Samba Team
  73 ==========================================================
  74 </pre>
  75 </body>
  76 </html>