security/CVE-2018-10919.html

   1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
   2     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   3 <html xmlns="http://www.w3.org/1999/xhtml">
   4
   5 <head>
   6 <title>Samba - Security Announcement Archive</title>
   7 </head>
   8
   9 <body>
  10
  11    <H2>CVE-2018-10919.html:</H2>
  12
  13 <p>
  14 <pre>
  15 ====================================================================
  16 == Subject:     Confidential attribute disclosure from the AD LDAP
  17 ==              server
  18 ==
  19 == CVE ID#:     CVE-2018-10919
  20 ==
  21 == Versions:    All versions of Samba from 4.0.0 onwards.
  22 ==
  23 == Summary:     Missing access control checks allow discovery of
  24 ==              confidential attribute values via authenticated
  25 ==              LDAP search expressions
  26 ==
  27 ====================================================================
  28
  29 ===========
  30 Description
  31 ===========
  32
  33 All versions of the Samba Active Directory LDAP server from 4.0.0
  34 onwards are vulnerable to the disclosure of confidential attribute
  35 values, both of attributes where the schema SEARCH_FLAG_CONFIDENTIAL
  36 (0x80) searchFlags bit and where an explicit Access Control Entry has
  37 been specified on the ntSecurityDescriptor.
  38
  39 The confidential attribute disclosure is via the search expression and
  40 can be seen by the return (or failure to return) matching LDAP
  41 objects.
  42
  43 This issue does NOT apply to secret attributes such as unicodePwd.
  44 These values have always been prohibited in LDAP search expressions.
  45 (Additionally since Samba 4.8 they remain encrypted at search
  46 expression processing time).
  47
  48 The following attributes in the 2008R2 AD schema have
  49 SEARCH_FLAG_CONFIDENTIAL set in the searchFlags by default:
  50
  51 unixUserPassword, msFVE-KeyPackage, msFVE-RecoveryPassword,
  52 msPKIAccountCredentials, msPKIAccountCredentials,
  53 msPKI-CredentialRoamingTokens, msPKIDPAPIMasterKeys,
  54 msPKIRoamingTimeStamp, msTPM-OwnerInformation
  55
  56 For clarity: unixUserPassword is NOT populated by Samba.
  57
  58 ================
  59 Remaining issues
  60 ================
  61
  62 Samba makes no attempt to address possible timing attacks against the
  63 LDAP server.  Data (aside from secret attributes, already subject to
  64 special processing) of such a sensitivity such that a timing attack
  65 would be worthwhile should not be stored in Active Directory.
  66
  67 ==================
  68 Patch Availability
  69 ==================
  70
  71 A patch addressing this defect has been posted to
  72
  73   http://www.samba.org/samba/security/
  74
  75 Additionally, Samba 4.8.4, Samba 4.7.9 and 4.6.16 have been issued as
  76 a security release to correct the defect.  Patches against older Samba
  77 versions are available at http://samba.org/samba/patches/. Samba
  78 vendors and administrators running affected versions are advised to
  79 upgrade or apply the patch as soon as possible.
  80
  81 ==========================
  82 Workarounds and Mitigation
  83 ==========================
  84
  85 The only workaround is not to use the SEARCH_FLAG_CONFIDENTIAL
  86 searchFlags bit, not to expect confidentiality of the attribute list
  87 above nor to set access control entries of a similar nature on LDAP
  88 objects.
  89
  90 =======
  91 Credits
  92 =======
  93
  94 The issue was reported by Phillip Kuhrt.  Tim Beale of Catalyst
  95 provided the test and patches.
  96 </pre>
  97 </body>
  98 </html>