26 мая 2026 года команда разработчиков Samba выпустила сразу шесть бюллетеней безопасности, которые закрывают критические и высокие уязвимости в популярном наборе программ для организации файлового обмена и доменных служб. Наибольшую тревогу вызывают две проблемы, получившие максимальный балл CVSS (общепринятая шкала оценки опасности уязвимостей) - 10,0. Они позволяют удаленно выполнить код на сервере без аутентификации. Патчи уже доступны, и администраторам настоятельно рекомендуют обновиться до версий 4.22.10, 4.23.8 или 4.24.3.
Детали уязвимостей
Прежде всего стоит рассказать о самой опасной уязвимости - CVE-2026-4408. Она затрагивает все версии Samba, начиная с самых ранних. Проблема скрыта в службе DCE/RPC (механизм удаленного вызова процедур) и модуле SAMR, отвечающем за управление учетными записями безопасности. Если администратор использует нестандартную конфигурацию и добавил в параметре "check password script" (скрипт проверки пароля) подстановочный символ %u, то злоумышленник может передать управляемое имя пользователя, содержащее shell-метасимволы, и выполнить произвольные команды на сервере. Важно понимать: в конфигурации по умолчанию этот вектор недоступен, поскольку samba-dcerpcd запускается по требованию. Однако те, кто отключил эту опцию, находятся под угрозой. Патч исправляет некорректное экранирование символов.
Схожая по опасности уязвимость обнаружена в подсистеме печати - CVE-2026-4480. Она тоже получила высший балл CVSS. Условие - использование в параметре "print command" (команда печати) подстановочного символа %J, через который передается строка описания задания, контролируемая клиентом. Если сервер не использует CUPS (общая система печати Unix, которая по умолчанию не подвержена проблеме), то атакующий может аналогичным образом внедрить свои команды. Наиболее уязвимы серверы, разрешающие печать гостевым пользователям - по умолчанию такая возможность включена. Разработчики рекомендуют либо убрать %J из команды печати, либо заключить его в одинарные кавычки.
Вместе с тем не стоит недооценивать и другие уязвимости. Одна из них, CVE-2026-3238, приводит к отказу в обслуживании на контроллере домена Active Directory (AD DC). Проблема заключается в WINS-сервере (служба имен Windows Internet Naming Service) - неаутентифицированный UDP-пакет может вызвать разыменование нулевого указателя и аварию процесса. Атака тривиальна в исполнении, и, хотя сервер автоматически перезапускается, его можно сделать полностью недоступным. К счастью, WINS нужно явно включить в конфигурации ("wins support = yes"). Тем, кто не использует этот сервис, стоит просто убрать директиву.
Не обошлось и без нарушений целостности данных. В CVE-2026-1933 описана ошибка проверки прав при работе с NTFS-точками повторной обработки (reparse points) - механизмом, который позволяет создавать символические ссылки и другие специальные объекты. На ресурсах, помеченных как read only (только для чтения), пользователи, имеющие права на запись в файловой системе, могли создавать или удалять такие точки. Это позволяло превращать обычные файлы в симлинки, делая данные недоступными для других, или модифицировать содержимое вопреки настройкам общего доступа. Уязвимость затрагивает Samba начиная с версии 4.21.
Ещё один инцидент касается модуля WORM (Write-Once, Read Many) - механизма, предназначенного для блокировки файлов от изменений после короткого периода записи. Ошибка CVE-2026-2340 позволяла обходить эту защиту: злоумышленник мог переименовать временный файл поверх защищенного, тем самым изменив его содержимое. Модуль появился ещё в Samba 4.2 и переписывался в версии 4.20, но именно этот баг остался незамеченным. Разработчики подчеркивают, что WORM добавляет дополнительный уровень защиты и не отменяет прав файловой системы, но всё же рекомендует установить патч.
Наконец, уязвимость CVE-2026-3012 связана с получением сертификата центра сертификации (CA) без защиты канала связи. В конфигурациях, где включена групповая политика авторегистрации сертификатов (GPO), Samba могла загружать сертификат по незащищенному протоколу HTTP вместо того, чтобы использовать безопасное LDAP-соединение (облегченный протокол доступа к каталогам). Это даёт возможность злоумышленнику, контролирующему сеть на маршруте, подменить сертификат и внедрить свой. В чисто Samba-доменах сертификационные службы не реализованы, поэтому уязвимость проявляется только если политика активирована. Патч полностью удаляет попытку загрузки по HTTP и полагается на LDAP.
Подводя итог, администраторам Samba необходимо как можно быстрее обновиться до версий 4.22.10, 4.23.8 или 4.24.3. Хотя большинство критических уязвимостей требуют нестандартных настроек, злоумышленники активно сканируют сеть в поиске таких конфигураций. Особое внимание стоит уделить серверам печати и контроллерам доменов с включенной поддержкой WINS или скриптами проверки пароля. Разработчики также рекомендуют убрать подстановочные символы %u и %J из пользовательских скриптов или экранировать их. Установка обновлений - единственный надежный способ избежать компрометации.
Ссылки
- https://www.samba.org/samba/security/CVE-2026-4480.html
- https://www.samba.org/samba/security/CVE-2026-4408.html
- https://www.samba.org/samba/security/CVE-2026-3238.html
- https://www.samba.org/samba/security/CVE-2026-3012.html
- https://www.samba.org/samba/security/CVE-2026-2340.html
- https://www.samba.org/samba/security/CVE-2026-1933.html
