Projet

Général

Profil

Tâche #29367

Scénario #29454: Traitement express MEN (04-06)

Correctif de sécurité samba (EOLE < 2.7.1)

Ajouté par Thierry Bertrand il y a plus de 4 ans. Mis à jour il y a environ 4 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Début:
03/07/2019
Echéance:
% réalisé:

100%

Restant à faire (heures):
0.0

Description

Les connexions null sessions sont autorisées et permettent d'énumérer des informations sensibles sur l'annuaire sans authentification.
=> liste de tous les uid + fonction associée pour faire du phishing ciblé
Risque
Un attaquant pourrait récupérer des informations sensibles afin de
cibler ces attaques envers des personnels de la DREAL. De plus, il
pourrait cibler ses attaques sur les mots de passe en utilisant un
masque similaire à la politique de mots de passe.
Recommandation
Désactiver les connexions null sessions
Il est recommandé de supprimer les connexions en null sessions. Pour ce
faire, il convient d'ajouter l'option suivante dans smb.conf :

restrict anonymous = 2


Demandes liées

Lié à EOLE AD DC - Tâche #28169: Protéger l'AD Seth contre rpclient Fermé 29/04/2019
Lié à Distribution EOLE - Tâche #28670: Options à ajouter dans la configuration Samba du conteneur ADDC Fermé 20/06/2019

Révisions associées

Révision ebea5bd3 (diff)
Ajouté par Gilles Grandgérard il y a environ 4 ans

Ajouter 'restrict anonymous = 2' dans les smb.conf

REF #28169

Cherry-picked from eole-ad-dc:d1f8ed32

Historique

#1 Mis à jour par Joël Cuissinat il y a plus de 4 ans

  • Description mis à jour (diff)

#2 Mis à jour par Joël Cuissinat il y a plus de 4 ans

  • Lié à Tâche #28169: Protéger l'AD Seth contre rpclient ajouté

#3 Mis à jour par Joël Cuissinat il y a plus de 4 ans

  • Sujet changé de correctif de sécurité samba à Correctif de sécurité samba (EOLE <= 2.7.1)

#4 Mis à jour par Joël Cuissinat il y a plus de 4 ans

  • Sujet changé de Correctif de sécurité samba (EOLE <= 2.7.1) à Correctif de sécurité samba (EOLE < 2.7.1)
  • Assigné à mis à Joël Cuissinat

La correction est déjà appliquée sur Seth >= 2.7.1 : eole-ad-dc:d1f8ed32 et également dans le conteneur addc (#28670)

Jusqu'où faut-il rétro-porter ?

#5 Mis à jour par Remi BAPTISTE il y a plus de 4 ans

Avant de le rétro-porter sur les autres branches ( 2.7.0 et 2.6.2), on va tester cette modification sur un DC d'un domaine. Si tout est OK alors on mettra la correction sur les autres branches.
On vous tient au courant. Pour l'instant ne rien faire.

#6 Mis à jour par Joël Cuissinat il y a plus de 4 ans

  • Tâche parente changé de #29284 à #29336

#7 Mis à jour par Joël Cuissinat il y a plus de 4 ans

  • Lié à Tâche #28670: Options à ajouter dans la configuration Samba du conteneur ADDC ajouté

#8 Mis à jour par Joël Cuissinat il y a environ 4 ans

  • Tâche parente changé de #29336 à #29454

#9 Mis à jour par Remi BAPTISTE il y a environ 4 ans

Après des tests en production sur un domaine du MTES, cette tâche est validée

#10 Mis à jour par Joël Cuissinat il y a environ 4 ans

  • Statut changé de Nouveau à En cours

#11 Mis à jour par Joël Cuissinat il y a environ 4 ans

  • Statut changé de En cours à Résolu
  • % réalisé changé de 0 à 100
  • EOLE AD DC 2.6.2-62
  • EOLE AD DC 2.7.0-31

#12 Mis à jour par Joël Cuissinat il y a environ 4 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) mis à 0.0

Formats disponibles : Atom PDF