Le sortie de la nouvelle version de Samba 4.13, version dans laquelle la solution à la vulnérabilité est ajoutée qui a été détecté il y a quelques jours ZéroLogon (CVE-2020-1472), en plus de cela dans cette nouvelle version, les exigences de Python ont déjà changé vers la version 3.6 ainsi que d'autres changements.
Pour ceux qui ne connaissent pas Samba, sachez qu'il s'agit d'un projet qui poursuit le développement de la branche Samba 4.x avec une implémentation complète d'un contrôleur de domaine et d'un service Active Directory, compatible avec l'implémentation Windows 2000 et capable de servir toutes les versions des clients Windows pris en charge par Microsoft, y compris Windows 10.
Samba 4, c'est un produit serveur multifonctionnel, qui fournit également la mise en œuvre d'un serveur de fichiers, d'un service d'impression et d'un serveur d'authentification (winbind).
Principales nouveautés de Samba 4.13
Dans cette nouvelle version du protocole Correction de vulnérabilité ZeroLogon ajoutée (CVE-2020-1472), qui pourrait permettre à un attaquant d'obtenir des droits d'administrateur sur un contrôleur de domaine sur des systèmes qui n'utilisent pas le paramètre "server schannel = yes" (Si vous voulez en savoir plus, Vous pouvez consulter la publication que nous partageons à ce sujet ici sur le blog. Le lien est le suivant)
Une autre des modifications apportées à cette nouvelle version de Samba est que le La configuration minimale requise pour Python est passée de Python 3.5 à Python 3.6. Bien que la possibilité de créer un serveur de fichiers avec Python 2 soit toujours préservée (avant d'exécuter ./configure 'et' make ', vous devez définir la variable d'environnement' PYTHON = python2 '), mais dans la branche suivante, elle sera supprimée et Python 3.6 sera requis pour la compilation.
D'autre part, la fonctionnalité "Wide links = yes", qui permet aux administrateurs de serveurs de fichiers de créer des liens symboliques vers une zone en dehors de la partition SMB / CIFS actuelle, déplacée de smbd vers un module séparé "vfs_widelinks".
Actuellement, ce module est chargé automatiquement s'il existe un paramètre "liens larges = oui" dans la configuration.
La prise en charge de "Wide links = yes" devrait être supprimée à l'avenir pour des raisons de sécurité, il est fortement conseillé aux utilisateurs de samba d'utiliser "mount –bind" pour monter des parties externes du système de fichiers au lieu de "wide links = yes".
Notez que les développeurs de Samba recommandent de changer toutes les installations qui utilisent actuellement "wide links = yes" pour utiliser les montages de lien dès que possible, car "wide links = yes" est un paramètre intrinsèquement non sécurisé que nous aimerions supprimer de Samba. Le déplacement de la fonctionnalité dans un module VFS permet de le faire de manière plus propre à l'avenir.
La prise en charge du contrôleur de domaine en mode classique est obsolète. Les utilisateurs de contrôleurs de domaine de type NT4 («classiques») doivent migrer vers les contrôleurs de domaine Samba Active Directory afin de travailler avec les clients Windows modernes.
Les méthodes d'authentification non sécurisées qui ne peuvent être utilisées qu'avec SMBv1 sont obsolètes: "connexions au domaine", "authentification NTLMv2 brute", "authentification client en clair", "authentification client NTLMv2", "client lanman d'authentification" et "utilisation du client spnego".
De plus, la prise en charge de l'option "ldap ssl ads" de smb.conf a été supprimée. La prochaine version devrait supprimer l'option "canal serveur".
Parmi les autres changements qui se démarquent sont l'élimination de:
- Annonces LDAP SSL supprimées
- smb2 désactive la vérification de la séquence de verrouillage
- smb2 désactiver oplock break réessayer
- connexions au domaine
- authentification NTLMv2 brute
- authentification en texte brut du client
- Client d'authentification NTLMv2
- client d'authentification Lanman
- Utilisation du client spnego
- Un canal du serveur sera supprimé dans la version 4.13.0
- L'option obsolète smb.conf "ldap ssl ads" a été supprimée.
- L'option smb.conf obsolète «serveur schannel» a probablement été supprimée dans la version finale 4.13.0.
Enfin si vous voulez en savoir plus sur les changements dans cette nouvelle version de Samba, vous pouvez les connaître dans le lien suivant.