security/CVE-2016-2114.html

   1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
   2     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   3 <html xmlns="http://www.w3.org/1999/xhtml">
   4
   5 <head>
   6 <title>Samba - Security Announcement Archive</title>
   7 </head>
   8
   9 <body>
  10
  11    <H2>CVE-2016-2114.html:</H2>
  12
  13 <p>
  14 <pre>
  15 ==============================================================
  16 == Subject:     "server signing = mandatory" not enforced
  17 ==
  18 == CVE ID#:     CVE-2016-2114
  19 ==
  20 == Versions:    Samba 4.0.0 to 4.4.0
  21 ==
  22 == Summary:     Due to a bug Samba doesn't enforce required
  23 ==              smb signing, even if explicitly configured. In
  24 ==              addition the default for the active directory
  25 ==              domain controller case was wrong.
  26 ==
  27 ==============================================================
  28
  29 ===========
  30 Description
  31 ===========
  32
  33 Due to a regression introduced in Samba 4.0.0,
  34 an explicit "server signing = mandatory" in the [global] section
  35 of the smb.conf was not enforced for clients using the SMB1 protocol.
  36
  37 As a result it does not enforce smb signing and allows man in the middle attacks.
  38
  39 This problem applies to all possible server roles:
  40 standalone server, member server, classic primary domain controller,
  41 classic backup domain controller and active directory domain controller.
  42
  43 In addition, when Samba is configured with "server role = active directory domain controller"
  44 the effective default for the "server signing" option should be "mandatory".
  45
  46 During the early development of Samba 4 we had a new experimental
  47 file server located under source4/smb_server. But before
  48 the final 4.0.0 release we switched back to the file server
  49 under source3/smbd.
  50
  51 But the logic for the correct default of "server signing" was not
  52 ported correctly ported.
  53
  54 Note that the default for server roles other than active directory domain
  55 controller, is "off" because of performance reasons.
  56
  57 ==================
  58 Patch Availability
  59 ==================
  60
  61 A patch addressing this defect has been posted to
  62
  63   https://www.samba.org/samba/security/
  64
  65 Additionally, Samba 4.4.2, 4.3.8 and 4.2.11 have been issued as
  66 security releases to correct the defect. Samba vendors and administrators
  67 running affected versions are advised to upgrade or apply the patch as
  68 soon as possible.
  69
  70 Note that Samba 4.4.1, 4.3.7 and 4.2.10 were privately released to vendors,
  71 but had a regression, which is fixed in 4.4.2, 4.3.8 and 4.2.11.
  72
  73 ==========
  74 Workaround
  75 ==========
  76
  77 An explicit "server signing = mandatory" in the [global]
  78 together with "server min protocol = SMB2", should prevent
  79 connections without signing protection. But that means
  80 older clients without support for SMB2 (or higher) might
  81 become unable to connect.
  82
  83 =======
  84 Credits
  85 =======
  86
  87 This vulnerability was discovered and researched by Stefan Metzmacher of
  88 SerNet (https://samba.plus) and the Samba Team (https://www.samba.org).
  89 He provides the fixes in collaboration with the Samba Team.
  90 </pre>
  91 </body>
  92 </html>