Το Samba 4.13 φτάνει με μια λύση στην ευπάθεια του ZeroLogon

Darkcrizt

4 λεπτά

linux-samba

ο κυκλοφορία της νέας έκδοσης του Samba 4.13, έκδοση στην οποία Προστίθεται η λύση στην ευπάθεια που εντοπίστηκε πριν από λίγες ημέρες ZeroLogon (CVE-2020-1472), εκτός από το γεγονός ότι σε αυτή τη νέα έκδοση οι απαιτήσεις Python έχουν ήδη αλλάξει σε έκδοση 3.6 και επίσης άλλες αλλαγές.

Για όσους δεν είναι εξοικειωμένοι με το Samba, πρέπει να γνωρίζετε ότι πρόκειται για ένα έργο που συνεχίζει την ανάπτυξη του κλάδου Samba 4.x με πλήρη υλοποίηση ενός ελεγκτή τομέα και υπηρεσίας Active Directory, συμβατό με την εφαρμογή των Windows 2000 και ικανό να εξυπηρετεί όλες τις εκδόσεις πελατών Windows που υποστηρίζονται από τη Microsoft, συμπεριλαμβανομένων των Windows 10.

Το Samba 4, είναι ένα πολυλειτουργικό προϊόν διακομιστή, ο οποίος παρέχει επίσης την εφαρμογή ενός διακομιστή αρχείων, υπηρεσίας εκτύπωσης και διακομιστή ελέγχου ταυτότητας (winbind)

Κύρια νέα χαρακτηριστικά του Samba 4.13

Σε αυτήν τη νέα έκδοση του πρωτοκόλλου Προστέθηκε η επιδιόρθωση ευπάθειας ZeroLogon (CVE-2020-1472), το οποίο θα μπορούσε να επιτρέψει σε έναν εισβολέα να αποκτήσει δικαιώματα διαχειριστή σε έναν ελεγκτή τομέα σε συστήματα που δεν χρησιμοποιούν τη ρύθμιση "διακομιστής schannel = yes" (Αν θέλετε να μάθετε περισσότερα για αυτόΜπορείτε να ελέγξετε τη δημοσίευση που μοιραζόμαστε γι 'αυτήν εδώ στο ιστολόγιο. Ο σύνδεσμος είναι αυτό)

Μια άλλη αλλαγή που έγινε σε αυτή τη νέα έκδοση του Samba είναι ότι το Οι ελάχιστες απαιτήσεις Python έχουν αυξηθεί από Python 3.5 σε Python 3.6. Ενώ διατηρείται η δυνατότητα δημιουργίας διακομιστή αρχείων με Python 2 (πριν από την εκτέλεση ./configure "και" make ", πρέπει να ορίσετε τη μεταβλητή περιβάλλοντος" PYTHON = python2 "), αλλά στον επόμενο κλάδο θα αφαιρεθεί και Απαιτείται Python 3.6 για συλλογή.

Από την άλλη πλευρά, η λειτουργικότητα "Wide links = yes", που επιτρέπει στους διαχειριστές διακομιστών αρχείων να δημιουργούν συμβολικούς συνδέσμους σε μια περιοχή έξω από το τρέχον διαμέρισμα SMB / CIFS, έχει μετακινηθεί από το smbd σε μια ξεχωριστή ενότητα "vfs_widelinks".

Προς το παρόν, αυτή η ενότητα φορτώνεται αυτόματα, εάν υπάρχει μια παράμετρος "ευρείες συνδέσεις = ναι" στη διαμόρφωση.

Η υποστήριξη για "ευρείς συνδέσμους = ναι" σχεδιάζεται να καταργηθεί στο μέλλον Λόγω ανησυχιών για την ασφάλεια, και οι χρήστες του samba συνιστάται να χρησιμοποιούν το "mount –bind" για να προσαρτούν εξωτερικά μέρη του συστήματος αρχείων αντί για "ευρείς συνδέσμους = ναι"

Λάβετε υπόψη ότι οι προγραμματιστές του Samba προτείνουν την αλλαγή οποιωνδήποτε εγκαταστάσεων που χρησιμοποιούν αυτήν τη στιγμή "ευρείες συνδέσεις = ναι" για χρήση συνδέσμων συνδέσμων το συντομότερο δυνατό, καθώς το "ευρείες συνδέσεις = ναι" είναι μια εγγενώς ανασφαλής ρύθμιση που θα θέλαμε να καταργήσουμε από το Samba. Η μετακίνηση της δυνατότητας σε μια μονάδα VFS επιτρέπει αυτό να γίνει με καθαρότερο τρόπο στο μέλλον.

Η υποστήριξη για τον ελεγκτή τομέα σε κλασική λειτουργία έχει καταργηθεί. Οι χρήστες ελεγκτών τομέα τύπου NT4 («κλασικό») πρέπει να μετεγκατασταθούν στους ελεγκτές τομέα Samba Active Directory για να συνεργαστούν με σύγχρονους πελάτες Windows.

Οι μη ασφαλείς μέθοδοι ελέγχου ταυτότητας που μπορούν να χρησιμοποιηθούν μόνο με SMBv1 καταργούνται: "συνδέσεις τομέα", "μη αυτόματη πιστοποίηση NTLMv2", "έλεγχος ταυτότητας απλού κειμένου πελάτη", "έλεγχος ταυτότητας πελάτη NTLMv2", "πελάτης lanman ελέγχου ταυτότητας" και "χρήση πελάτη spnego".

Επίσης, καταργήθηκε η υποστήριξη για την επιλογή "ldap ssl ads" από το smb.conf. Η επόμενη έκδοση αναμένεται να καταργήσει την επιλογή "κανάλι διακομιστή".

Από τις άλλες αλλαγές που ξεχωρίζουν είναι η εξάλειψη:

  •   Οι διαφημίσεις Ldap SSL καταργήθηκαν
  •   Το smb2 απενεργοποιεί την επαλήθευση ακολουθίας κλειδώματος
  •   smb2 απενεργοποιήστε το oplock break retry
  •   συνδέσεις τομέα
  •   ακατέργαστο έλεγχο ταυτότητας NTLMv2
  •   έλεγχος ταυτότητας απλού κειμένου πελάτη
  •   Πελάτης ταυτότητας NTLMv2
  •   πελάτης lanman auth
  •   Χρήση του προγράμματος-πελάτη spnego
  •   Ένα κανάλι από το διακομιστή θα καταργηθεί στην έκδοση 4.13.0
  • Καταργήθηκε η επιλογή smb.conf "ldap ssl ads".
  • Η κατάργηση "διακομιστή schannel" smb.conf πιθανότατα καταργήθηκε στην τελική έκδοση 4.13.0.

Τελικά αν θέλετε να μάθετε περισσότερα για αυτό σχετικά με τις αλλαγές σε αυτήν τη νέα έκδοση του Samba, μπορείτε να τις γνωρίζετε Στον ακόλουθο σύνδεσμο.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.