security/CVE-2017-12150.html

   1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
   2     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   3 <html xmlns="http://www.w3.org/1999/xhtml">
   4
   5 <head>
   6 <title>Samba - Security Announcement Archive</title>
   7 </head>
   8
   9 <body>
  10
  11    <H2>CVE-2017-12150.html:</H2>
  12
  13 <p>
  14 <pre>
  15 ===============================================================================
  16 == Subject:     SMB1/2/3 connections may not require signing where they should
  17 ==
  18 == CVE ID#:     CVE-2017-12150
  19 ==
  20 == Versions:    Samba 3.0.25 to 4.6.7
  21 ==
  22 == Summary:     A man in the middle attack may hijack client connections.
  23 ==
  24 ===============================================================================
  25
  26 ===========
  27 Description
  28 ===========
  29
  30 There are several code paths where the code doesn't enforce SMB signing:
  31
  32 * The fixes for CVE-2015-5296 didn't apply the implied signing protection
  33   when enforcing encryption for commands like 'smb2mount -e', 'smbcacls -e' and
  34   'smbcquotas -e'.
  35
  36 * The python binding exported as 'samba.samba3.libsmb_samba_internal'
  37   doesn't make use of the "client signing" smb.conf option.
  38
  39 * libgpo as well as 'net ads gpo' doesn't require SMB signing when fetching
  40   group policies.
  41
  42 * Commandline tools like 'smbclient', 'smbcacls' and 'smbcquotas' allow
  43   a fallback to an anonymous connection when using the '--use-ccache'
  44   option and this happens even if SMB signing is required.
  45
  46 ==================
  47 Patch Availability
  48 ==================
  49
  50 A patch addressing this defect has been posted to
  51
  52   https://www.samba.org/samba/security/
  53
  54 Additionally 4.6.8, 4.5.14 and 4.4.16 have been issued as
  55 security releases to correct the defect. Samba vendors and administrators
  56 running affected versions are advised to upgrade or apply the patch as
  57 soon as possible.
  58
  59 ==========
  60 Workaround
  61 ==========
  62
  63 The missing implied signing for 'smb2mount -e', 'smbcacls -e' and
  64 'smbcquotas -e' can be enforced by explicitly using '--signing=required'
  65 on the commandline or "client signing = required" in smb.conf.
  66
  67 =======
  68 Credits
  69 =======
  70
  71 This vulnerability was discovered and researched by Stefan Metzmacher of
  72 SerNet (https://samba.plus) and the Samba Team (https://www.samba.org),
  73 who also provides the fixes.
  74 </pre>
  75 </body>
  76 </html>