Project

General

Profile

Tâche #29367

Scénario #29454: Traitement express MEN (04-06)

Correctif de sécurité samba (EOLE < 2.7.1)

Added by Thierry Bertrand 8 months ago. Updated 6 months ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
07/03/2019
Due date:
% Done:

100%

Remaining (hours):
0.0

Description

Les connexions null sessions sont autorisées et permettent d'énumérer des informations sensibles sur l'annuaire sans authentification.
=> liste de tous les uid + fonction associée pour faire du phishing ciblé
Risque
Un attaquant pourrait récupérer des informations sensibles afin de
cibler ces attaques envers des personnels de la DREAL. De plus, il
pourrait cibler ses attaques sur les mots de passe en utilisant un
masque similaire à la politique de mots de passe.
Recommandation
Désactiver les connexions null sessions
Il est recommandé de supprimer les connexions en null sessions. Pour ce
faire, il convient d'ajouter l'option suivante dans smb.conf :

restrict anonymous = 2


Related issues

Related to EOLE AD DC - Tâche #28169: Protéger l'AD Seth contre rpclient Fermé 04/29/2019
Related to Distribution EOLE - Tâche #28670: Options à ajouter dans la configuration Samba du conteneur ADDC Fermé 06/20/2019

Associated revisions

Revision ebea5bd3 (diff)
Added by Gilles Grandgérard 6 months ago

Ajouter 'restrict anonymous = 2' dans les smb.conf

REF #28169

Cherry-picked from eole-ad-dc:d1f8ed32

History

#1 Updated by Joël Cuissinat 8 months ago

  • Description updated (diff)

#2 Updated by Joël Cuissinat 8 months ago

  • Related to Tâche #28169: Protéger l'AD Seth contre rpclient added

#3 Updated by Joël Cuissinat 8 months ago

  • Subject changed from correctif de sécurité samba to Correctif de sécurité samba (EOLE <= 2.7.1)

#4 Updated by Joël Cuissinat 8 months ago

  • Subject changed from Correctif de sécurité samba (EOLE <= 2.7.1) to Correctif de sécurité samba (EOLE < 2.7.1)
  • Assigned To set to Joël Cuissinat

La correction est déjà appliquée sur Seth >= 2.7.1 : eole-ad-dc:d1f8ed32 et également dans le conteneur addc (#28670)

Jusqu'où faut-il rétro-porter ?

#5 Updated by Remi BAPTISTE 8 months ago

Avant de le rétro-porter sur les autres branches ( 2.7.0 et 2.6.2), on va tester cette modification sur un DC d'un domaine. Si tout est OK alors on mettra la correction sur les autres branches.
On vous tient au courant. Pour l'instant ne rien faire.

#6 Updated by Joël Cuissinat 8 months ago

  • Parent task changed from #29284 to #29336

#7 Updated by Joël Cuissinat 8 months ago

  • Related to Tâche #28670: Options à ajouter dans la configuration Samba du conteneur ADDC added

#8 Updated by Joël Cuissinat 7 months ago

  • Parent task changed from #29336 to #29454

#9 Updated by Remi BAPTISTE 6 months ago

Après des tests en production sur un domaine du MTES, cette tâche est validée

#10 Updated by Joël Cuissinat 6 months ago

  • Status changed from Nouveau to En cours

#11 Updated by Joël Cuissinat 6 months ago

  • Status changed from En cours to Résolu
  • % Done changed from 0 to 100
  • EOLE AD DC 2.6.2-62
  • EOLE AD DC 2.7.0-31

#12 Updated by Joël Cuissinat 6 months ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) set to 0.0

Also available in: Atom PDF