security/CVE-2015-5296.html

   1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
   2     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   3 <html xmlns="http://www.w3.org/1999/xhtml">
   4
   5 <head>
   6 <title>Samba - Security Announcement Archive</title>
   7 </head>
   8
   9 <body>
  10
  11    <H2>CVE-2015-5296.html:</H2>
  12
  13 <p>
  14 <pre>
  15 ===========================================================
  16 == Subject:     Samba client requesting encryption vulnerable
  17 ==              to downgrade attack.
  18 ==
  19 == CVE ID#:     CVE-2015-5296
  20 ==
  21 == Versions:    Samba versions 3.2.0 to 4.3.2
  22 ==
  23 == Summary:     Requesting encryption should also request
  24 ==              signing when setting up the connection to
  25 ==              protect against man-in-the-middle attacks.
  26 ==
  27 ===========================================================
  28
  29 ===========
  30 Description
  31 ===========
  32
  33 Versions of Samba from 3.2.0 to 4.3.2 inclusive do not ensure that
  34 signing is negotiated when creating an encrypted client connection to
  35 a server.
  36
  37 Without this a man-in-the-middle attack could downgrade the connection
  38 and connect using the supplied credentials as an unsigned, unencrypted
  39 connection.
  40
  41 ==================
  42 Patch Availability
  43 ==================
  44
  45 Patches addressing this defect have been posted to
  46
  47  https://www.samba.org/samba/history/security.html
  48
  49 Additionally, Samba 4.3.3, 4.2.7 and 4.1.22 have been issued as
  50 security releases to correct the defect.
  51 Samba vendors and administrators running affected versions are
  52 advised to upgrade or apply the patch as soon as possible.
  53
  54 ===========
  55 Workarounds
  56 ===========
  57
  58 When using the smbclient command, always add the argument
  59 "--signing=required" when using the "-e" or "--encrypt" argument.
  60
  61 Alternatively, set the variable "client signing = mandatory" in the
  62 [global] section of the smb.conf file on any client using encrypted
  63 connections.
  64
  65 To protect a Samba server exporting encrypted shares against a
  66 downgrade attack set the variable "smb encrypt = mandatory" in the
  67 smb.conf definition of the encrypted shares.
  68
  69 =======
  70 Credits
  71 =======
  72
  73 This problem was found by Stefan Metzmacher &lt;metze@samba.org&gt; of
  74 SerNet (www.sernet.com) and the Samba Team, who also provided the
  75 fix.
  76 </pre>
  77 </body>
  78 </html>