ROSA-SA-18-03-17.001
Samba LDAP-сервер с реализацией контроллера домена Active Directory во всех версиях Samba начиная с 4.0.0 неверно проверяет разрешения на изменение паролей через LDAP, позволяя аутентифицированным пользователям изменять пароли других пользователей, включая пароли администраторов и привилегированных учётных записей служб (например, контроллеров домена)
ldbsearch -H /usr/local/samba/private/sam.ldb objectclass=user pwdLastSet msDS-KeyVersionNumber
Данный скрипт позволяет отозвать у всех объектов пользователей, в том числе компьютеров пользователей, право смены паролей в контексте "world" и оставить только право смены собственного пароля.
Записи отсутствуют.