-
Titre
Réponse de KACE à la vulnérabilité de Badlock -
Description
Le KACE SMA est une appliance de gestion des systèmes avec la possibilité de suivre, sécuriser et mettre à jour les PC-bureau et serveurs. Il fournit également un Service Desk et dispose de la gestion des actifs. L'appliance KACE SMA est disponible sous forme d'appliance physique ou virtuelle, et il y a des éditions avec des fonctionnalités limitées: Le Management Appliance Asset (limité à la fonctionnalité de gestion d'actifs) et une édition Express (édition plus limitée qui est gratuite du produit complet).
L'appliance KACE SDA est une appliance de déploiement des systèmes avec la possibilité de déployer à distance des systèmes d'exploitation par l'installation ou l'imagerie automatisée. Il fournit également des capacités de migration et de configuration automatiques. L'appliance KACE SDA est disponible en tant qu'appareil physique ou virtuel.
Un bug de sécurité dans Windows et Samba connu sous le nom Badlock (CVE-2016-2118) a été annoncé sur http://badlock.org ainsi que des mises à jour recommandées pour résoudre le problème.
-
Cause
Badlock (CVE-2016-2118) -
Résolution
Dans l'appliance KACE SMA, Samba est utilisé pour le provisionnement de nos agents Kace SMA lorsqu'ils ne sont pas utilisez avec des méthodes courantes telles que la stratégie de groupe (GPO) pour son déploiement. KACE a étudié cette vulnérabilité et a déterminé que, même si notre appliance KACE SMA ne contient pas les versions vulnérables de Samba, il est verrouillé sur un répertoire spécifique avec des privilèges très spécifiques qui atténue la capacité pour l'exploiter. En outre, lorsque l'agent a terminé le provisionnement, l'accès Samba à l'appliance Kace SMA peut être complètement éteint. Samba peut être désactivé sur l'appliance Kace SMA en décochant l'option "Activer le partage de fichiers" en accédant à Paramètres> Paramètres Panneau de configuration> Sécurité dans la section intitulée "Samba".
Sur l'appliance Kace SDA, Samba est utilisé comme un serveur de partage de fichiers à des fins diverses, y compris la gestion de la bibliothèque de pilotes et le déploiement du système d'exploitation. Parce qu'il n'y a qu'un seul compte d'utilisateur dans le fichier de partage de la base de données de l'appliance Kace SDA, il n'y a aucune possibilité d'augmenter les privilèges par le vecteur MITM suggéré: tous les utilisateurs ayant accès au partage de fichiers ont déjà le même niveau d'accès.
Aucun des produits KACE qui utilise Samba comme un contrôleur de domaine Active Directory ou un serveur LDAP, qui est l'endroit où les conséquences les plus graves de Badlock et les vulnérabilités connexes peuvent être réalisées.
Des mises à jour sont prévues dans les prochaines versions des Appliances SMA et SDA faisant partie de nos efforts continus pour assurer la sécurisations des composants. Cependant, nous ne délivrons pas de correctif pour l'appliance Kace SMA puisque vous pouvez désactiver Samba comme détaillé ci-dessus, ni un correctif pour l'appliance Kace SDA depuis que les ramifications de la vulnérabilité récemment découverte pour Samba ne sont pas appliquer à la Kace SDA.
Versions affectées:
- Les versions KACE Systems Management Appliance (Appareils physiques et virtuels, y compris ceux hébergés en tant que service), Kace Asset Management Appliance et Kace SMA express 6.4 et antérieures.
- Les versions KACE Systems Deployment Appliance (Appareils physiques et virtuels) 3.7 et antérieures