Janek-Git

**Nome do Software Vulnerável e Versões Afetadas:** Versões do Himmelblau de 0.9.0 a 0.9.22 **Descrição:** O Himmelblau é uma suíte de interoperabilidade para o Microsoft Azure Entra ID e Intune. O software deriva GIDs numéricos para grupos do Entra ID a partir do nome de exibição do grupo quando `himmelblau.conf id attr map = name` (a configuração padrão). O Microsoft Entra ID permite múltiplos grupos com o mesmo `displayName`, o que pode fazer com que grupos distintos do diretório colapsem para o mesmo GID numérico no Linux. Isso pode levar ao acesso não intencional a recursos ou serviços em um host integrado ao Himmelblau que impõe autorização por GID numérico para um usuário que cria ou ingressa em um grupo diferente do Entra/O365 compartilhando o mesmo `displayName` que um grupo de segurança privilegiado. **Recomendações:** Atualize para a versão 0.9.23 do Himmelblau, ou 1.0.0 ou posterior. Como solução alternativa, utilize o reforço das políticas do tenant para restringir a criação arbitrária de grupos até que todos os hosts sejam corrigidos.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Himmelblau de 0.9.0 a 0.9.14 Versão 1.00-alpha do Himmelblau **Descrição** O Himmelblau é uma suíte de interoperabilidade para o Microsoft Azure Entra ID e o Intune. O problema ocorre quando as restrições de acesso baseadas em grupo do Entra ID são configuradas usando nomes de exibição do grupo em vez de IDs de objeto. Isso permite que um usuário crie um grupo pessoal com o mesmo nome de um grupo de acesso legítimo, adicione-se a si mesmo a ele e receba direitos de autenticação ou sudo pelo Himmelblau. O problema ocorre porque as versões afetadas do Himmelblau comparam nomes de grupo seja por `displayName` ou pelo `objectId` imutável, permitindo contornar mecanismos de controle de acesso destinados a restringir o login a membros de grupos oficiais, gerenciados centralmente. **Recomendações** Para as versões do Himmelblau de 0.9.0 a 0.9.14, substitua todas as entradas em `pam allow groups` pelo `objectId` do(s) grupo(s) de destino do Entra ID para mitigar o problema. Para a versão 1.00-alpha do Himmelblau, substitua todas as entradas em `pam allow groups` pelo `objectId` do(s) grupo(s) de destino do Entra ID para mitigar o problema. Como medida geral de mitigação, audite seu tenant em busca de grupos com nomes de exibição duplicados usando a Microsoft Graph API. Atualize para a versão 0.9.15 ou posterior do Himmelblau, onde a correspondência de nome de grupo em `pam allow groups` foi descontinuada e removida, e apenas `objectId`(s) de grupo (GUIDs) podem ser especificados para filtragem segura baseada em grupo.