The Samba 4.13 uue versiooni väljaandmine, milles versioon lisatakse haavatavuse lahendus see avastati mõni päev tagasi ZeroLogon (CVE-2020-1472), lisaks sellele uues versioonis on Pythoni nõuded juba muutunud versiooniks 3.6 ja ka muud muudatused.
Neile, kes pole Sambast tuttavad, peaksite teadma, et see on projekt, mis jätkab filiaali Samba 4.x arendamist domeenikontrolleri ja Active Directory teenuse täieliku juurutamisega, ühilduv Windows 2000 juurutamisega ja võimeline teenima kõiki versioone Microsofti toetatud Windowsi klientidest, sealhulgas Windows 10.
Samba 4, on multifunktsionaalne serveritoode, mis pakub ka failiserveri, prinditeenuse ja autentimisserveri (winbind) juurutamist.
Samba 4.13 peamised uued funktsioonid
Selles protokolli uues versioonis Lisatud on ZeroLogoni haavatavuse parandus (CVE-2020-1472), mis võib lubada ründajal omandada domeenikontrolleri administraatori õigused süsteemides, mis ei kasuta sätet "server schannel = yes" (Kui soovite selle kohta rohkem teada saada, Väljaannet, mida selle kohta jagame, saate vaadata siit blogist. Link on see)
Samba selles uues versioonis tehti veel üks muudatus, et Pythoni miinimumnõuded on tõstetud Python 3.5-lt Python 3.6-le. Kuigi Python 2-ga failiserveri loomise võimalus on endiselt säilinud (enne ./configure ja make tegemist, peate määrama keskkonnamuutuja PYTHON = python2), kuid järgmises harus eemaldatakse see ja Koostamiseks on vajalik Python 3.6.
Teiselt poolt funktsionaalsus "Wide links = yes", mis võimaldab failiserveri administraatoritel luua sümboolseid linke alale väljaspool praegust SMB / CIFS partitsiooni, teisaldatud smbd-st eraldi moodulisse "vfs_widelinks".
Praegu laaditakse see moodul automaatselt, kui konfiguratsioonis on parameeter "wide links = yes".
"Lingid = jah" tugi on plaanis tulevikus eemaldada turbeprobleemide tõttu ja samba kasutajatel soovitatakse tungivalt failisüsteemi väliste osade ühendamiseks "wide links = yes" asemel kasutada "mount –bind".
Pange tähele, et Samba arendajad soovitavad muuta kõik installid, mis praegu kasutavad "wide links = yes", linkide kinnituste kasutamiseks nii kiiresti kui võimalik, kuna "wide links = yes" on olemuslikult ebakindel seade, mille tahaksime Sambast eemaldada. Funktsiooni VFS-moodulisse teisaldamine võimaldab seda tulevikus puhtamalt teha.
Domeenikontrolleri tugi klassikalises režiimis on aegunud. NT4 tüüpi („klassikalise”) domeenikontrolleri kasutajad peavad kaasaegsete Windowsi klientidega töötamiseks migreeruma Samba Active Directory domeenikontrolleritesse.
Ebaturvalised autentimismeetodid, mida saab kasutada ainult koos SMBv1-ga, on aegunud: "domeeni sisselogimised", "toores NTLMv2 autentimine", "kliendi tekstiteksti autentimine", "NTLMv2 kliendi autentimine", "autentimisvõrgu klient" ja "spnego kliendi kasutamine".
Samuti eemaldati smb.conf-i valiku "ldap ssl ads" tugi. Järgmine versioon eemaldab eeldatavasti valiku "serverikanal".
Muudest silmapaistvatest muudatustest on kõrvaldamine:
- Ldap ssl reklaamid on eemaldatud
- smb2 keelab lukustamisjärjestuse kinnitamise
- smb2 keelake uuesti avamise katkestamine
- domeeni sisselogimised
- toores NTLMv2 autentimine
- kliendi tavalise teksti autentimine
- NTLMv2 autentimisklient
- lanman auth klient
- Spnego kliendi kasutamine
- Kanal serverist eemaldatakse versioonis 4.13.0
- Vananenud smb.conf valik "ldap ssl ads" on eemaldatud.
- Vananenud variant "server schannel" smb.conf eemaldati tõenäoliselt lõplikus versioonis 4.13.0.
Lõpuks kui soovite selle kohta rohkem teada saada selle uue Samba versiooni muudatuste kohta saate neid teada Järgmisel lingil.