Samba 4.13 ankommer med en løsning på ZeroLogon-sårbarheden

linux-samba

Det frigivelse af den nye version af Samba 4.13, version, hvor løsningen på sårbarheden tilføjes der blev opdaget for et par dage siden ZeroLogon (CVE-2020-1472), ud over det faktum, at Python-kravene i denne nye version allerede er ændret til version 3.6 og andre ændringer.

For dem, der ikke er bekendt med Samba, skal du vide, at dette er et projekt, der fortsætter udviklingen af ​​Samba 4.x-grenen med en fuld implementering af en domænecontroller og Active Directory-tjeneste, kompatibel med Windows 2000-implementeringen og i stand til at betjene alle versioner af Windows-klienter understøttet af Microsoft, inklusive Windows 10.

Samba 4, er et multifunktionelt serverprodukt, som også giver implementering af en filserver, en printservice og en godkendelsesserver (winbind).

Vigtigste nye funktioner i Samba 4.13

I denne nye version af protokollen ZeroLogon-sårbarhedsrettelse tilføjet (CVE-2020-1472), som kan give en hacker mulighed for at få administratorrettigheder på en domænecontroller på systemer, der ikke bruger indstillingen "server schannel = yes" (Hvis du vil vide mere om detDu kan tjekke den publikation, vi deler om det, her på bloggen. Linket er dette)

En anden ændring, der blev foretaget i denne nye version af Samba, er, at Minimumskravene til Python er hævet fra Python 3.5 til Python 3.6. Mens evnen til at oprette en filserver med Python 2 stadig er bevaret (inden du kører ./configure 'og' make ', skal du indstille miljøvariablen' PYTHON = python2 '), men i den næste gren fjernes den og Python 3.6 kræves til kompilering.

På den anden side funktionaliteten "Brede links = ja", som gør det muligt for filserversadministratorer at oprette symbolske links til et område uden for den aktuelle SMB / CIFS-partition, flyttet fra smbd til et separat "vfs_widelinks" -modul.

I øjeblikket indlæses dette modul automatisk, hvis der er en parameter "wide links = yes" i konfigurationen.

Støtte til "brede links = ja" er planlagt at blive fjernet i fremtiden på grund af sikkerhedsproblemer, og det anbefales kraftigt, at samba-brugere bruger "mount –bind" til at montere eksterne dele af filsystemet i stedet for "wide links = yes".

Bemærk, at Samba-udviklere anbefaler at ændre alle installationer, der i øjeblikket bruger "brede links = ja" for at bruge linkbeslag så hurtigt som muligt, da "brede links = ja" er en iboende usikker indstilling, som vi gerne vil fjerne fra Samba. Flytning af funktionen til et VFS-modul gør det muligt at gøre dette på en renere måde i fremtiden.

Support til domænecontrolleren i klassisk tilstand er udfaset. Brugere af domæencontrollere af typen NT4 ('klassisk') skal migrere til Samba Active Directory-domænecontrollere for at kunne arbejde med moderne Windows-klienter.

De usikre godkendelsesmetoder, der kun kan bruges med SMBv1, er udfaset: "domæne-login", "rå NTLMv2-godkendelse", "klientgodkendelse af klient", "NTLMv2-klientgodkendelse", "godkendelse lanman-klient" og "spnego-klientbrug".

Også understøttelse af indstillingen "ldap ssl ads" fra smb.conf er blevet fjernet. Den næste version forventes at fjerne indstillingen "serverkanal".

Af de andre ændringer, der skiller sig ud er eliminering af:

  •   Ldap ssl-annoncer fjernet
  •   smb2 deaktiverer låsesekvensbekræftelse
  •   smb2 deaktiver oplock break forsøg igen
  •   domæne logins
  •   rå NTLMv2-godkendelse
  •   klient-ren tekstgodkendelse
  •   NTLMv2 auth-klient
  •   lanman auth-klient
  •   Brug af spnego-klienten
  •   En kanal fra serveren fjernes i version 4.13.0
  • Den forældede smb.conf-indstilling "ldap ssl ads" er blevet fjernet.
  • Den forældede "server-kanal" smb.conf-mulighed er sandsynligvis fjernet i den endelige version 4.13.0.

Endelig hvis du vil vide mere om det om ændringerne i denne nye version af Samba, kan du kende dem I det følgende link.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort.

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

bool (sandt)