security/CVE-2021-23192.html

   1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
   2     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   3 <html xmlns="http://www.w3.org/1999/xhtml">
   4
   5 <head>
   6 <title>Samba - Security Announcement Archive</title>
   7 </head>
   8
   9 <body>
  10
  11    <H2>CVE-2021-23192.html:</H2>
  12
  13 <p>
  14 <pre>
  15 ====================================================================
  16 == Subject:     Subsequent DCE/RPC fragment injection vulnerability
  17 ==
  18 == CVE ID#:     CVE-2021-23192
  19 ==
  20 == Versions:    Samba 4.10.0 and later.
  21 ==
  22 == Summary:     If a client to a Samba server sent a very large
  23                 DCE/RPC request, and chose to fragment it, an
  24                 attacker could replace later fragments with
  25                 their own data, bypassing the signature requirements.
  26 =====================================================================
  27
  28 ===========
  29 Description
  30 ===========
  31
  32 Samba implements DCE/RPC, and in most cases it is provided over and
  33 protected by the underlying SMB transport, with protections like 'SMB
  34 signing'.
  35
  36 However there are other cases where large DCE/RPC request payloads are exchanged
  37 and fragmented into several pieces. If this happens over untrusted transports
  38 (e.g. directly over TCP/IP or anonymous SMB) clients will typically
  39 protect by an explicit authentication at the DCE/RPC layer, e.g. with
  40 GSSAPI/Kerberos/NTLMSSP or Netlogon Secure Channel.
  41
  42 Because the checks on the fragment protection were not done between
  43 the policy controls on the header and the subsequent fragments, an attacker
  44 could replace subsequent fragments in requests with their own data, which
  45 might be able to alter the server behaviour.
  46
  47 DCE/RPC is a core component of all Samba servers, but we are most
  48 concerned about Samba as a Domain Controller, given the role as a
  49 centrally trusted service.
  50
  51 As active directory domain controller this issue affects Samba versions greater
  52 or equal to 4.10.0.
  53
  54 As NT4 classic domain controller, domain member or standalone server
  55 this issue affects Samba versions greater or equal to 4.13.0.
  56
  57 ==================
  58 Patch Availability
  59 ==================
  60
  61 Patches addressing both these issues have been posted to:
  62
  63     https://www.samba.org/samba/security/
  64
  65 Additionally, Samba 4.15.2, 4.14.10 and 4.13.14 have been issued
  66 as security releases to correct the defect.  Samba administrators are
  67 advised to upgrade to these releases or apply the patch as soon
  68 as possible.
  69
  70 ==================
  71 CVSSv3 calculation
  72 ==================
  73
  74 CVSS:3.1 AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N (4.8)
  75
  76 ==========
  77 Workaround
  78 ==========
  79
  80 Setting "dcesrv:max auth states=0" in the smb.conf will provide
  81 some mitigation against this issue.
  82
  83 There are no known problems with this change as
  84 NT4 classic domain controller, domain member or standalone server.
  85
  86 But it disables "Security Context Multiplexing" and may reopen
  87 https://bugzilla.samba.org/show_bug.cgi?id=11892.
  88 which means domain members running things like Cisco ISE or
  89 VMWare View may no longer work. This applies only to
  90 active directory domain controllers.
  91
  92 =======
  93 Credits
  94 =======
  95
  96 Originally reported by Stefan Metzmacher of SerNet
  97
  98 Patches provided by Stefan Metzmacher of SerNet and the Samba Team.
  99 Advisory by Andrew Bartlett of Catalyst and the Samba Team.
 100
 101 ==========================================================
 102 == Our Code, Our Bugs, Our Responsibility.
 103 == The Samba Team
 104 ==========================================================
 105 </pre>
 106 </body>
 107 </html>