Il rilascio della nuova versione di Samba 4.13, versione in cui viene aggiunta la soluzione alla vulnerabilità rilevato pochi giorni fa Accesso zero (CVE-2020-1472), oltre che in questa nuova versione i requisiti di Python sono già cambiati alla versione 3.6 e anche altre modifiche.
Per chi non ha familiarità con Samba, dovresti sapere che questo è un progetto che continua lo sviluppo del ramo Samba 4.x con un'implementazione completa di un controller di dominio e servizio Active Directory, compatibile con l'implementazione di Windows 2000 e in grado di servire tutte le versioni dei client Windows supportati da Microsoft, incluso Windows 10.
Samba 4, è un prodotto server multifunzionale, che fornisce anche l'implementazione di un file server, servizio di stampa e server di autenticazione (winbind).
Principali novità di Samba 4.13
In questa nuova versione del protocollo Aggiunta correzione della vulnerabilità ZeroLogon (CVE-2020-1472), che potrebbe consentire a un utente malintenzionato di ottenere diritti di amministratore su un controller di dominio su sistemi che non utilizzano l'impostazione "server schannel = yes" (Se vuoi saperne di piùPuoi controllare la pubblicazione che condividiamo al riguardo qui sul blog. Il collegamento è questo)
Un altro cambiamento che è stato fatto in questa nuova versione di Samba è che il file I requisiti minimi di Python sono stati aumentati da Python 3.5 a Python 3.6. Sebbene la possibilità di creare un file server con Python 2 sia ancora preservata (prima di eseguire ./configure 'e' make ', è necessario impostare la variabile d'ambiente' PYTHON = python2 '), ma nel ramo successivo verrà rimosso e Python 3.6 sarà richiesto per la compilazione.
D'altra parte la funzionalità "Collegamenti larghi = sì", che consente agli amministratori di file server di creare collegamenti simbolici in un'area esterna alla partizione SMB / CIFS corrente, spostata da smbd a un modulo separato "vfs_widelinks".
Attualmente, questo modulo viene caricato automaticamente se nella configurazione è presente un parametro "wide links = yes".
Il supporto per "wide link = yes" verrà rimosso in futuro a causa di problemi di sicurezza, si consiglia vivamente agli utenti di samba di usare "mount –bind" per montare parti esterne del filesystem invece di "wide links = yes".
Notare che gli sviluppatori di Samba consigliano di modificare tutte le installazioni che attualmente utilizzano "wide links = yes" per utilizzare i link mount il prima possibile, poiché "wide links = yes" è un'impostazione intrinsecamente insicura che vorremmo rimuovere da Samba. Spostare la funzionalità in un modulo VFS consente di farlo in modo più pulito in futuro.
Il supporto per il controller di dominio in modalità classica è stato deprecato. Gli utenti di controller di dominio di tipo NT4 ("classico") devono migrare ai controller di dominio Samba Active Directory per poter lavorare con i client Windows moderni.
I metodi di autenticazione non sicuri che possono essere utilizzati solo con SMBv1 sono obsoleti: "accessi al dominio", "autenticazione NTLMv2 non elaborata", "autenticazione client in testo normale", "autenticazione client NTLMv2", "autenticazione client lanman" e "utilizzo client spnego".
Inoltre, il supporto per l'opzione "ldap ssl ads" da smb.conf è stato rimosso. La prossima versione dovrebbe rimuovere l'opzione "canale server".
Tra gli altri cambiamenti che spiccano sono l'eliminazione di:
- Ldap ssl ads rimossi
- smb2 disabilita la verifica della sequenza di blocco
- smb2 disabilita il tentativo di interruzione dell'oplock
- accessi al dominio
- autenticazione NTLMv2 non elaborata
- autenticazione in chiaro del client
- Client di autenticazione NTLMv2
- client di autenticazione lanman
- Utilizzando il client spnego
- Un canale dal server verrà rimosso nella versione 4.13.0
- La deprecata opzione smb.conf "ldap ssl ads" è stata rimossa.
- L'opzione deprecata "server schannel" smb.conf molto probabilmente rimossa nella versione finale 4.13.0.
Infine se vuoi saperne di più sui cambiamenti in questa nuova versione di Samba, puoi conoscerli nel seguente link