NEWS[4.17.0rc4]: Samba 4.17.0rc4 Available for Download
[samba-web.git] / security / CVE-2022-32746.html
1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
2     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
3 <html xmlns="http://www.w3.org/1999/xhtml">
4
5 <head>
6 <title>Samba - Security Announcement Archive</title>
7 </head>
8
9 <body>
10
11    <H2>CVE-2022-32746.html:</H2>
12
13 <p>
14 <pre>
15 ===========================================================
16 == Subject:     Samba AD users can induce a use-after-free in the
17 ==              server process with an LDAP add or modify request.
18 ==
19 == CVE ID#:     CVE-2022-32746
20 ==
21 == Versions:    All versions of Samba prior to 4.16.4
22 ==
23 == Summary:     The AD DC database audit logging module can be made to
24 ==              access LDAP message values that have been freed by a
25 ==              preceding database module, resulting in a use-after-
26 ==              free. This is only possible when modifying certain
27 ==              privileged attributes, such as userAccountControl.
28 ===========================================================
29
30 ===========
31 Description
32 ===========
33
34 Some database modules make a shallow copy of an LDAP add/delete
35 message so they can make modifications to its elements without
36 affecting the original message. Each element in a message points to an
37 array of values, and these arrays are shared between the original
38 message and the copy.
39
40 The issue arises when a database module adds new values to an existing
41 array. A call to realloc() increases the array&#x27;s size to accommodate
42 new elements, but at the same time, frees the old array. This leaves
43 the original message element with a dangling pointer to a now-freed
44 array. When the database audit logging module subsequently logs the
45 details of the original message, it will access this freed data,
46 generally resulting in corrupted log output or a crash.
47
48 The code paths susceptible to this issue are reachable when certain
49 specific attributes, such as userAccountControl, are added or
50 modified. These attributes are not editable by default without having
51 a privilege assigned, such as Write Property.
52
53 ==================
54 Patch Availability
55 ==================
56
57 Patches addressing both these issues have been posted to:
58
59     https://www.samba.org/samba/security/
60
61 Additionally, Samba 4.16.4, 4.15.9, and 4.14.14 have been issued
62 as security releases to correct the defect. Samba administrators are
63 advised to upgrade to these releases or apply the patch as soon
64 as possible.
65
66 ==================
67 CVSSv3 calculation
68 ==================
69
70 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L (5.4)
71
72 ==========
73 Workaround
74 ==========
75
76 Disabling AD DC database audit logging prevents the use-after-free
77 from occurring, as that is the only component that will access the
78 original message.
79
80 =======
81 Credits
82 =======
83
84 Initial report, patches, and this advisory by Joseph Sutton and Andrew
85 Bartlett of Catalyst and the Samba Team.
86
87 ==========================================================
88 == Our Code, Our Bugs, Our Responsibility.
89 == The Samba Team
90 ==========================================================
91
92 </pre>
93 </body>
94 </html>