De uitgave van de nieuwe versie van Samba 4.13, versie waarin de oplossing voor de kwetsbaarheid wordt toegevoegd dat is een paar dagen geleden ontdekt NulLogon (CVE-2020-1472), naast het feit dat in deze nieuwe versie de Python-vereisten al zijn gewijzigd naar versie 3.6 en ook andere wijzigingen.
Voor degenen die niet bekend zijn met Samba, weet dat dit een project is dat de ontwikkeling van de Samba 4.x-tak voortzet met een volledige implementatie van een domeincontroller en Active Directory-service, compatibel met Windows 2000-implementatie en geschikt voor alle versies van Windows clients ondersteund door Microsoft, inclusief Windows 10.
Samba 4 is een multifunctioneel serverproduct, die ook zorgt voor de implementatie van een bestandsserver, printservice en authenticatieserver (winbind).
Belangrijkste nieuwe kenmerken van Samba 4.13
In deze nieuwe versie van het protocol ZeroLogon-kwetsbaarheidsfix toegevoegd (CVE-2020-1472), waardoor een aanvaller beheerdersrechten kan krijgen op een domeincontroller op systemen die de instelling "server schannel = yes" niet gebruiken (Als je er meer over wilt wetenJe kunt de publicatie die we erover delen hier op de blog bekijken. De link is dit)
Een andere wijziging die is aangebracht in deze nieuwe versie van Samba is dat de Minimale Python-vereisten zijn verhoogd van Python 3.5 naar Python 3.6. Hoewel de mogelijkheid om een bestandsserver te bouwen met Python 2 nog steeds behouden blijft (voordat u ./configure 'en' make 'uitvoert, moet u de omgevingsvariabele' PYTHON = python2 'instellen), maar in de volgende branch wordt deze verwijderd en Python 3.6 is vereist voor compilatie.
Anderzijds de functionaliteit "Brede links = ja", waarmee bestandsserverbeheerders symbolische links kunnen maken naar een gebied buiten de huidige SMB / CIFS-partitie, verplaatst van smbd naar een aparte "vfs_widelinks" -module.
Momenteel wordt deze module automatisch geladen als er een parameter "wide links = yes" in de configuratie staat.
Ondersteuning voor "wide links = yes" zal in de toekomst worden verwijderd vanwege veiligheidsoverwegingen, en samba-gebruikers wordt sterk aangeraden om "mount –bind" te gebruiken om externe delen van het bestandssysteem te mounten in plaats van "wide links = yes".
Merk op dat Samba-ontwikkelaars aanbevelen om installaties die momenteel "wide links = yes" gebruiken te wijzigen om zo snel mogelijk link mounts te gebruiken, aangezien "wide links = yes" een inherent onveilige instelling is die we graag van Samba willen verwijderen. Door de functie naar een VFS-module te verplaatsen, kan dit in de toekomst op een schonere manier worden gedaan.
Ondersteuning voor de domeincontroller in de klassieke modus is verouderd. Gebruikers van NT4-type ('klassieke') domeincontrollers moeten migreren naar Samba Active Directory-domeincontrollers om met moderne Windows-clients te kunnen werken.
De onveilige authenticatiemethoden die alleen met SMBv1 kunnen worden gebruikt, zijn verouderd: "domeinlogins", "onbewerkte NTLMv2-authenticatie", "client-authenticatie in platte tekst", "NTLMv2-clientauthenticatie", "authentication lanman-client" en "spnego-clientgebruik".
Ook is de ondersteuning voor de optie "ldap ssl ads" van smb.conf verwijderd. De volgende versie zal naar verwachting de optie "serverkanaal" verwijderen.
Van de andere veranderingen die opvallen zijn de eliminatie van:
- LDAP SSL-advertenties verwijderd
- smb2 schakelt verificatie van de vergrendelingsvolgorde uit
- smb2 uitschakelen oplock-onderbreking opnieuw proberen
- domein logins
- onbewerkte NTLMv2-verificatie
- client-authenticatie in platte tekst
- NTLMv2-auth-client
- lanman auth-client
- Met behulp van de spnego-client
- Een kanaal van de server wordt verwijderd in versie 4.13.0
- De verouderde smb.conf-optie "ldap ssl ads" is verwijderd.
- De verouderde "server schannel" smb.conf optie is hoogstwaarschijnlijk verwijderd in de laatste versie 4.13.0.
Eindelijk als je er meer over wilt weten over de veranderingen in deze nieuwe versie van Samba, u kunt ze kennen In de volgende link.