De utgivelsen av den nye versjonen av Samba 4.13, versjon der løsningen på sårbarheten er lagt til som ble oppdaget for noen dager siden ZeroLogon (CVE-2020-1472), i tillegg til at i denne nye versjonen har Python-kravene allerede endret seg til versjon 3.6 og også andre endringer.
For de som ikke er kjent med Samba, bør du vite at dette er et prosjekt som fortsetter utviklingen av Samba 4.x-grenen med full implementering av en domenekontroller og Active Directory-tjeneste, kompatibel med Windows 2000-implementeringen og i stand til å betjene alle versjoner av Windows-klienter som støttes av Microsoft, inkludert Windows 10.
Samba 4, er et multifunksjonelt serverprodukt, som også gir implementering av en filserver, utskriftstjeneste og autentiseringsserver (winbind).
De viktigste nye funksjonene i Samba 4.13
I denne nye versjonen av protokollen ZeroLogon sårbarhetsrettelse lagt til (CVE-2020-1472), som kan tillate en angriper å få administratorrettigheter på en domenekontroller på systemer som ikke bruker innstillingen "server schannel = yes" (Hvis du vil vite mer om detDu kan sjekke publikasjonen vi deler om den her på bloggen. Koblingen er denne)
En annen av endringene som ble gjort i denne nye versjonen av Samba, er at Minimumskrav til Python er økt fra Python 3.5 til Python 3.6. Selv om muligheten til å bygge en filserver med Python 2 fortsatt er bevart (før du kjører ./configure 'og' make ', må du angi miljøvariabelen' PYTHON = python2 '), men i neste gren blir den fjernet og Python 3.6 vil være nødvendig for kompilering.
På den annen side funksjonaliteten "Brede lenker = ja", som lar filserveradministratorer opprette symbolske lenker til et område utenfor den nåværende SMB / CIFS-partisjonen, flyttet fra smbd til en egen "vfs_widelinks" -modul.
Foreløpig lastes denne modulen automatisk hvis det er en parameter for "wide links = yes" i konfigurasjonen.
Støtte for "brede lenker = ja" er planlagt fjernet i fremtiden på grunn av sikkerhetshensyn, og samba-brukere anbefales på det sterkeste å bruke "mount –bind" til å montere eksterne deler av filsystemet i stedet for "wide links = yes".
Merk at Samba-utviklere anbefaler å endre installasjoner som for øyeblikket bruker "brede lenker = ja" for å bruke koblingsfester så snart som mulig, da "brede lenker = ja" er en iboende usikker innstilling som vi vil fjerne fra Samba. Å flytte funksjonen til en VFS-modul gjør at dette kan gjøres på en renere måte i fremtiden.
Støtte for domenekontrolleren i klassisk modus er avviklet. Brukere av domenekontrollere av typen NT4 ('klassisk') må migrere til Samba Active Directory-domenekontrollere for å kunne jobbe med moderne Windows-klienter.
De usikre autentiseringsmetodene som bare kan brukes med SMBv1 blir utfaset: "domenelogins", "raw NTLMv2 authentication", "client plaintext authentication", "NTLMv2 client authentication", "authentication lanman client" og "spnego client usage".
Også støtte for "ldap ssl ads" -alternativet fra smb.conf er fjernet. Den neste versjonen forventes å fjerne alternativet "serverkanal".
Av de andre endringene som skiller seg ut er eliminering av:
- Ldap ssl-annonser fjernet
- smb2 deaktiverer bekreftelse av låsesekvens
- smb2 deaktiver oplock break på nytt
- domenenavn
- rå NTLMv2-autentisering
- klient-ren tekstgodkjenning
- NTLMv2 auth-klient
- lanman auth klient
- Bruke spnego-klienten
- En kanal fra serveren vil bli fjernet i versjon 4.13.0
- Det utdaterte smb.conf-alternativet "ldap ssl ads" er fjernet.
- Det avviklede "server schannel" smb.conf-alternativet er mest sannsynlig fjernet i den endelige versjonen 4.13.0.
Endelig hvis du vil vite mer om det om endringene i denne nye versjonen av Samba, kan du kjenne dem I den følgende lenken.