يصل Samba 4.13 مع حل لمشكلة عدم حصانة ZeroLogon

لينكس سامبا

ال إصدار الإصدار الجديد من Samba 4.13، الإصدار الذي تمت إضافة حل الثغرة الأمنية تم اكتشافه قبل أيام قليلة ZeroLogon (CVE-2020-1472) ، بالإضافة إلى ذلك في هذا الإصدار الجديد ، تغيرت متطلبات Python بالفعل إلى الإصدار 3.6 وأيضًا تغييرات أخرى.

بالنسبة لأولئك الذين ليسوا على دراية بـ Samba ، يجب أن تعلم أن هذا مشروع يستمر في تطوير فرع Samba 4.x مع التنفيذ الكامل لوحدة تحكم المجال وخدمة Active Directory ، المتوافقة مع تطبيق Windows 2000 وقادرة على خدمة جميع الإصدارات من عملاء Windows المدعومين من Microsoft ، بما في ذلك Windows 10.

سامبا 4 ، هو منتج خادم متعدد الوظائف ، والذي يوفر أيضًا تنفيذ خادم الملفات وخدمة الطباعة وخادم المصادقة (winbind).

الميزات الجديدة الرئيسية لبرنامج Samba 4.13

في هذا الإصدار الجديد من البروتوكول تمت إضافة إصلاح عدم حصانة ZeroLogon (CVE-2020-1472) ، والذي قد يسمح للمهاجم بالحصول على حقوق المسؤول على وحدة تحكم المجال على الأنظمة التي لا تستخدم الإعداد "server schannel = yes" (إذا كنت تريد معرفة المزيد عنها، يمكنك التحقق من المنشور الذي نشاركه هنا على المدونة. الرابط هو هذا)

تغيير آخر تم إجراؤه في هذا الإصدار الجديد من Samba هو أن تم رفع الحد الأدنى لمتطلبات Python من Python 3.5 إلى Python 3.6. بينما تظل القدرة على إنشاء خادم ملفات باستخدام Python 2 محفوظة (قبل تشغيل ./configure 'و' make '، تحتاج إلى تعيين متغير البيئة' PYTHON = python2 ') ، ولكن في الفرع التالي ستتم إزالته و مطلوب Python 3.6 للتجميع.

من ناحية أخرى الوظيفة "روابط واسعة = نعم" ، والتي تسمح لمسؤولي خادم الملفات بإنشاء روابط رمزية إلى منطقة خارج قسم SMB / CIFS الحالي ، تم نقله من smbd إلى وحدة منفصلة "vfs_widelinks".

حاليًا ، يتم تحميل هذه الوحدة تلقائيًا إذا كان هناك معلمة "روابط واسعة = نعم" في التكوين.

من المقرر إزالة دعم "الروابط العريضة = نعم" في المستقبل بسبب مخاوف أمنية ، ينصح مستخدمو السامبا بشدة باستخدام "mount –bind" لتركيب أجزاء خارجية من نظام الملفات بدلاً من "wide links = yes".

لاحظ أن مطوري Samba يوصون بتغيير أي تثبيتات تستخدم حاليًا "روابط واسعة = نعم" لاستخدام حوامل الارتباط في أسرع وقت ممكن ، حيث إن "الروابط العريضة = نعم" هو إعداد غير آمن بطبيعته نرغب في إزالته من Samba.. يتيح نقل الميزة إلى وحدة VFS إجراء ذلك بطريقة أنظف في المستقبل.

تم إهمال دعم وحدة تحكم المجال في الوضع الكلاسيكي. يجب على مستخدمي وحدات التحكم بالمجال من نوع NT4 ("الكلاسيكية") الانتقال إلى وحدات تحكم مجال Samba Active Directory من أجل العمل مع عملاء Windows الحديثين.

تم إهمال أساليب المصادقة غير الآمنة التي لا يمكن استخدامها إلا مع SMBv1: "تسجيلات دخول المجال" و "مصادقة NTLMv2 الأولية" و "مصادقة النص العادي للعميل" و "مصادقة عميل NTLMv2" و "عميل المصادقة lanman" و "استخدام عميل spnego".

أيضًا ، تمت إزالة دعم خيار "ldap ssl ads" من smb.conf. من المتوقع أن يزيل الإصدار التالي خيار "قناة الخادم".

من التغييرات الأخرى التي تبرز القضاء على:

  •   إزالة إعلانات ldap ssl
  •   يعطل smb2 التحقق من تسلسل القفل
  •   smb2 تعطيل إعادة محاولة كسر oplock
  •   تسجيلات المجال
  •   مصادقة NTLMv2 الأولية
  •   مصادقة النص العادي للعميل
  •   عميل مصادقة NTLMv2
  •   عميل المصادقة لانمان
  •   استخدام عميل spnego
  •   ستتم إزالة قناة من الخادم في الإصدار 4.13.0
  • تمت إزالة خيار smb.conf الموقوف "إعلانات ldap ssl".
  • تمت إزالة الخيار smb.conf "server schannel" الذي تم إيقافه في الإصدار الأخير 4.13.0.

أخيرا إذا كنت تريد معرفة المزيد عنها حول التغييرات في هذا الإصدار الجديد من Samba ، يمكنك التعرف عليها في الرابط التالي.


محتوى المقال يلتزم بمبادئنا أخلاقيات التحرير. للإبلاغ عن خطأ انقر فوق هنا.

كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.