严重的 Samba 错误可能让任何人成为域管理员 - 立即修补！

Samba 是一个广泛使用的开源工具包，它不仅使 Linux 和 Unix 计算机可以轻松地与 Windows 网络通信，而且还允许您在根本没有 Windows 服务器的情况下托管 Windows 样式的 Active Directory 域。

如果您想知道，这个名称是 SMB 的一个听起来愉快且易于说的派生词，简称 服务器消息块，一种可追溯到 1980 年代初期的专有文件共享协议。

任何拥有足够长内存的人都会记得，可能没有太多的感情，连接 OS/2 计算机以使用 SMB over NetBIOS 共享文件。

Samba 诞生于 1990 年代初，这要归功于澳大利亚开源先驱 Andrew Tridgell 的辛勤工作，他从最初的原则中弄清楚了 SMB 的工作原理，以便在他忙于在澳大利亚国立大学攻读博士学位的同时，为 Unix 实现兼容版本大学。

（顺便说一句，特里奇的博士学位是 rsync，您拥有的另一个软件工具包 可能以某种形式使用，即使你没有意识到这一点。）

SMB变成CIFS， 通用Internet文件系统，当它在 1996 年被 Microsoft 公开时，自此产生了 SMB 2 和 SMB 3，它们仍然是专有网络协议，但具有正式发布的规范，因此 Samba 等工具不再需要依赖逆向工程和猜测以提供兼容的实现。

可以想象，Samba 的实用性意味着它广泛用于 Linux 和 Unix 世界，包括内部、云，甚至家庭路由器和 NAS 设备等网络硬件。

（NAS 的简称 网络附加存储，通常是一个装满硬盘的盒子，您将其插入 LAN，并自动显示为您所有其他计算机都可以访问的文件服务器。）

打印您自己的护照！

Samba 刚刚更新以修复许多安全漏洞，包括与密码重置相关的严重错误。

如最新详述 Samba 发行说明，修补了六个 CVE 编号的错误，包括这五个……

…连同这个，这是最严重的，正如您从错误描述中立即看到的那样：

从理论上讲 CVE-2022-32744 网络上的任何用户都可以利用该漏洞。

简单地说，攻击者可以攻击 Samba 的密码更改服务，称为 kpasswd，通过一系列失败的密码更改尝试……

…直到它最终接受了密码更改请求 这是攻击者自己授权的.

用俚语来说，这就是你所说的 打印自己的护照 (PYOP) 攻击，要求您证明自己的身份，但可以通过出示您自己创建的“官方”文件来证明。

网络安全的三位一体

正如 Samba 错误报告所说（我们的重点）：

收到的车票 kpasswd 服务被解密，但没有指定只应尝试该服务自己的密钥。 通过将票证的服务器名称设置为与他们自己的帐户相关联的主体，或者通过利用回退，尝试已知密钥直到找到合适的密钥， 攻击者可以让服务器接受使用任何密钥加密的票证，包括他们自己的.

用户可以因此 更改管理员帐户的密码并获得对域的完全控制. 通过拒绝用户访问他们的帐户，完全丧失机密性和完整性以及可用性是可能的。

你会记得你见过的几乎所有网络安全介绍， 可用性, 保密 和 诚信 是计算机安全的“三位一体”。

这三个原则旨在确保：您一个人可以查看您的私人数据（保密); 没有其他人可以弄乱它，即使他们自己无法阅读它，也不会让您意识到它已被高贵（诚信); 并且未经授权的各方无法阻止您访问自己的东西（可用性).

显然，如果任何人都可以重置每个人的密码（或者我们的意思是如果每个人都可以重置任何人的密码），那么这些安全属性都不适用，因为攻击者可以进入您的帐户，更改您的文件并将您锁定在外。

怎么办呢？

Samba 提供三种支持的风格：当前、以前和以前的。

您想要的更新如下：

• 如果使用 4.16 版, 从 4.16.3 或更早版本更新到 4.16.4
• 如果使用 4.15 版, 从 4.15.8 或更早版本更新到 4.15.9
• 如果使用 4.14 版, 从 4.14.13 或更早版本更新到 4.14.14

如果您无法更新，上面列出的一些错误可以通过配置更改来缓解，尽管其中一些更改会关闭您的网络可能依赖的功能，这将阻止您使用这些特定的解决方法。

因此，一如既往： 早打补丁，多打补丁！

如果您使用将 Samba 作为可安装软件包提供的 Linux 或 BSD 发行版，您应该已经（或应该很快收到）通过发行版的软件包管理器获得的更新； 对于 NAS 盒等网络设备，请咨询您的供应商了解详细信息。

---