security/CVE-2019-14833.html

   1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
   2     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   3 <html xmlns="http://www.w3.org/1999/xhtml">
   4
   5 <head>
   6 <title>Samba - Security Announcement Archive</title>
   7 </head>
   8
   9 <body>
  10
  11    <H2>CVE-2019-14833.html:</H2>
  12
  13 <p>
  14 <pre>
  15 =====================================================================
  16 == Subject:     Samba AD DC check password script does not receive
  17 ==              the full password.
  18 ==
  19 == CVE ID#:     CVE-2019-14833
  20 ==
  21 == Versions:    Samba 4.5.0 and later
  22 ==
  23 == Summary:     When the password contains multi-byte (non-ASCII)
  24 ==              characters, the check password script does not
  25 ==              receive the full password string.
  26 =====================================================================
  27
  28 ===========
  29 Description
  30 ===========
  31
  32 Since Samba Version 4.5.0 a Samba AD DC can use a custom command to
  33 verify the password complexity. The command can be specified with
  34 the "check password script" smb.conf parameter.
  35 This command is called when Samba handles a user password change or
  36 a new user password is set. The script receives the new cleartext
  37 password string in order to run custom password complexity checks
  38 like dictionary checks to avoid weak user passwords.
  39
  40 When the password contains multi-byte (non-ASCII) characters, the
  41 check password script does not receive the full password string.
  42
  43 ==================
  44 Patch Availability
  45 ==================
  46
  47 Patches addressing both these issues have been posted to:
  48
  49     https://www.samba.org/samba/security/
  50
  51 Additionally, Samba 4.11.2, 4.10.10 and 4.9.15 have been issued
  52 as security releases to correct the defect.  Samba administrators are
  53 advised to upgrade to these releases or apply the patch as soon
  54 as possible.
  55
  56 ==================
  57 CVSSv3 calculation
  58 ==================
  59
  60 CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N (4.2)
  61
  62 ==========
  63 Workaround
  64 ==========
  65
  66 If the check password script parameter is not specified, Samba runs
  67 the internal password quality checks. The internal check makes sure
  68 that a password contains characters from three of five different
  69 characters categories.
  70
  71 =======
  72 Credits
  73 =======
  74
  75 Originally reported by Simon Fonteneau in 2016 and indicated as
  76 security issue by Björn Baumbach.
  77
  78 Patches provided by Björn Baumbach of the Samba Team and SerNet and
  79 Andrew Bartlett of the Samba Team and Catalyst.
  80
  81 ==========================================================
  82 == Our Code, Our Bugs, Our Responsibility.
  83 == The Samba Team
  84 ==========================================================
  85 </pre>
  86 </body>
  87 </html>