security/CVE-2023-0922.html

   1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
   2     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
   3 <html xmlns="http://www.w3.org/1999/xhtml">
   4
   5 <head>
   6 <title>Samba - Security Announcement Archive</title>
   7 </head>
   8
   9 <body>
  10
  11    <H2>CVE-2023-0922.html:</H2>
  12
  13 <p>
  14 <pre>
  15 ===========================================================
  16 == Subject:     Samba AD DC admin tool samba-tool sends passwords in cleartext
  17 ==
  18 == CVE ID#:     CVE-2023-0922
  19 ==
  20 == Versions:    All versions of Samba since 4.0
  21 ==
  22 == Summary:     The Samba AD DC administration tool, when operating
  23                 against a remote LDAP server, will by default send
  24                 new or reset passwords over a signed-only connection.
  25 ===========================================================
  26
  27 ===========
  28 Description
  29 ===========
  30
  31 Active Directory allows passwords to be set and changed over LDAP.
  32 Microsoft&#x27;s implementation imposes a restriction that this may only
  33 happen over an encrypted connection, however Samba does not have this
  34 restriction currently.
  35
  36 Samba&#x27;s samba-tool client tool likewise has no restriction regarding
  37 the security of the connection it will set a password over.
  38
  39 An attacker able to observe the network traffic between samba-tool and
  40 the Samba AD DC could obtain newly set passwords if samba-tool
  41 connected using a Kerberos secured LDAP connection against a Samba AD
  42 DC.
  43
  44 This would happen when samba-tool was used to reset a user&#x27;s
  45 password, or to add a new user.
  46
  47 This only impacts connections made using Kerberos as NTLM-protected
  48 connections are upgraded to encryption regardless.
  49
  50 This patch changes all Samba AD LDAP client connections to use
  51 encryption, as well as integrity protection, by default, by changing
  52 the default value of &quot;client ldap sasl wrapping&quot; to &quot;seal&quot; in Samba&#x27;s
  53 smb.conf.
  54
  55 Administrators should confirm this value has not been overridden in
  56 their local smb.conf to obtain the benefit of this change.
  57
  58 NOTE WELL: Samba, for consistency, uses a common smb.conf option for
  59 LDAP client behaviour.  Therefore this will also encrypt the AD LDAP
  60 connections between Samba&#x27;s winbindd and any AD DC, so this patch will
  61 also change behaviour for Samba Domain Member configurations.
  62
  63 If this is a concern, the smb.conf value &quot;client ldap sasl wrapping&quot;
  64 can be reset to &quot;sign&quot;.
  65
  66 ==================
  67 Patch Availability
  68 ==================
  69
  70 Patches addressing both these issues have been posted to:
  71
  72     https://www.samba.org/samba/security/
  73
  74 Additionally, Samba $VERSIONS have been issued
  75 as security releases to correct the defect.  Samba administrators are
  76 advised to upgrade to these releases or apply the patch as soon
  77 as possible.
  78
  79 ==================
  80 CVSSv3 calculation
  81 ==================
  82
  83 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:N (5.9)
  84
  85 ==========
  86 Workaround
  87 ==========
  88
  89 Set &quot;client ldap sasl wrapping = seal&quot; in the smb.conf or add the
  90 --option=clientldapsaslwrapping=sign option to any samba-tool or
  91 ldbmodify invocation that sets a password.
  92
  93 =======
  94 Credits
  95 =======
  96
  97 Originally reported by Andrew Bartlett of Catalyst and the Samba Team
  98 working with Rob van der Linde of Catalyst.
  99
 100 Patches provided by Rob van der Linde of Catalyst and Andrew Bartlett
 101 of Catalyst and the Samba Team.
 102
 103 ==========================================================
 104 == Our Code, Our Bugs, Our Responsibility.
 105 == The Samba Team
 106 ==========================================================
 107
 108
 109 </pre>
 110 </body>
 111 </html>