跳转到主内容

CVE-2022-38023对Data ONTAP 7-模式是否有任何影响

Views:
331
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
7dot<a>CVE-2022-38023</a>
Last Updated:

适用场景

  • Data ONTAP 7-模式
  • CVE-2022-38023

问题解答

可以。如果存储器(vFiler)尝试通过NETLOGON传递NTLM身份验证、则一旦设置了强制实施阶段、域控制器将返回"Access Denied"

有哪些可用的解决方法?

7-模式版本 GPO cifs.netlogon.secure_channel.enable
8.2.5P3及更早版本 将7-模式计算机对象添加到GPO 选项不可用、Netlogon未使用安全通道
8.2.5P4和8.2.5P5 将7-模式计算机对象添加到GPO "options cifs.netlogon.secure_channel.enable off"
  • 向GPO中添加7-模式计算机对象:"域控制器:允许容易受到攻击的Netlogon安全通道连接"组策略对象(GPO)。
  • 注意:对于ONTAP 7-模式、由于7-模式的支持有限、因此没有计划用于实施此新功能的修补程序。
  • 注意:对于ONTAP 7-模式8.2.5P4或8.2.5P5版本、要使用GPO临时解决策 、 您必须运行options cifs.netlogon.secure_channel.enable off
  • 通过禁用上述选项、您将还原7-模式以使用不安全且容易受到影响的Netlogon连接。这是NetApp看到的唯一一种与以前发布的GPO临时解决策 “域控制器:允许容易受到攻击的Netlogon安全通道连接”组策略对象GPO一起使用 的方法。
  • 注意: 自2023年4月20日起、Microsoft KB5021130 不再将GPO作为强制实施的临时解决策 引用。截至2023年4月11日的修补程序、此临时解决策 仍适用于7-模式、但是、我们无法保证它在将来任何其他公开发布的修补程序中的有效性。
 

[1] 设置"RequireSeal:2"强制实施后(如果未设置上述解决方法)、CVE-2022-38023将对ONTAP 7-模式产生何种影响:

  • 当filer (vFiler)尝试通过NETLOGON传递NTLM身份验证信息时、修补后的域控制器将返回"Access Denited"
  • ONTAP 将报告以下EMS消息错误:(只有在启用了options cifs.trace_login on时才会显示此消息)
    auth.dc.trace.DCConnection.errorMsg:error]: AUTH: Domain Controller error: NetLogon error 0xc0000022: - Filer's security information differs from domain controller \\DC1.

[2] 一旦设置了"RequieSeal:2"强制实施、ONTAP 7-模式将如何受到CVE-2022-38023的影响(如果上面的解决方法不再有效):

追加信息

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.