Tâche #29367
Scénario #29454: Traitement express MEN (04-06)
Correctif de sécurité samba (EOLE < 2.7.1)
100%
Description
Les connexions null sessions sont autorisées et permettent d'énumérer des informations sensibles sur l'annuaire sans authentification.
=> liste de tous les uid + fonction associée pour faire du phishing ciblé
Risque
Un attaquant pourrait récupérer des informations sensibles afin de
cibler ces attaques envers des personnels de la DREAL. De plus, il
pourrait cibler ses attaques sur les mots de passe en utilisant un
masque similaire à la politique de mots de passe.
Recommandation
Désactiver les connexions null sessions
Il est recommandé de supprimer les connexions en null sessions. Pour ce
faire, il convient d'ajouter l'option suivante dans smb.conf :
restrict anonymous = 2
Demandes liées
Révisions associées
Ajouter 'restrict anonymous = 2' dans les smb.conf
REF #28169
Cherry-picked from eole-ad-dc:d1f8ed32
Historique
#1 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Description mis à jour (diff)
#2 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Lié à Tâche #28169: Protéger l'AD Seth contre rpclient ajouté
#3 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Sujet changé de correctif de sécurité samba à Correctif de sécurité samba (EOLE <= 2.7.1)
#4 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Sujet changé de Correctif de sécurité samba (EOLE <= 2.7.1) à Correctif de sécurité samba (EOLE < 2.7.1)
- Assigné à mis à Joël Cuissinat
La correction est déjà appliquée sur Seth >= 2.7.1 : eole-ad-dc:d1f8ed32 et également dans le conteneur addc (#28670)
Jusqu'où faut-il rétro-porter ?
#5 Mis à jour par Remi BAPTISTE il y a plus de 4 ans
Avant de le rétro-porter sur les autres branches ( 2.7.0 et 2.6.2), on va tester cette modification sur un DC d'un domaine. Si tout est OK alors on mettra la correction sur les autres branches.
On vous tient au courant. Pour l'instant ne rien faire.
#6 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Tâche parente changé de #29284 à #29336
#7 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Lié à Tâche #28670: Options à ajouter dans la configuration Samba du conteneur ADDC ajouté
#8 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Tâche parente changé de #29336 à #29454
#9 Mis à jour par Remi BAPTISTE il y a environ 4 ans
Après des tests en production sur un domaine du MTES, cette tâche est validée
#10 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Statut changé de Nouveau à En cours
#11 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 0 à 100
- EOLE AD DC 2.6.2-62
- EOLE AD DC 2.7.0-31
#12 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) mis à 0.0