Plik wydanie nowej wersji Samby 4.13, wersja w której dodano rozwiązanie tej luki który został wykryty kilka dni temu Zero logowania (CVE-2020-1472), oprócz tego w tej nowej wersji wymagania Pythona zostały już zmienione do wersji 3.6 oraz inne zmiany.
Dla tych, którzy nie znają Samby, powinniście wiedzieć, że jest to projekt kontynuujący rozwój gałęzi Samby 4.x z pełną implementacją kontrolera domeny i usługi Active Directory, kompatybilny z implementacją Windows 2000 i zdolny do obsługi wszystkich wersji klientów Windows obsługiwanych przez firmę Microsoft, w tym Windows 10.
Samba 4 jest wielofunkcyjny produkt serwerowy, który zapewnia również implementację serwera plików, usługi drukowania i serwera uwierzytelniania (winbind).
Główne nowe funkcje Samby 4.13
W tej nowej wersji protokołu Dodano poprawkę dotyczącą luki w zabezpieczeniach ZeroLogon (CVE-2020-1472), co może pozwolić osobie atakującej na uzyskanie praw administratora na kontrolerze domeny w systemach, które nie używają ustawienia „server schannel = yes” (Jeśli chcesz dowiedzieć się więcej na ten tematMożesz sprawdzić publikację, którą o tym udostępniamy, tutaj na blogu. Link jest taki)
Inną zmianą wprowadzoną w nowej wersji Samby jest to, że Minimalne wymagania Pythona zostały podniesione z Python 3.5 do Python 3.6. Podczas gdy możliwość zbudowania serwera plików za pomocą Pythona 2 jest nadal zachowana (przed uruchomieniem ./configure 'i' make ', musisz ustawić zmienną środowiskową' PYTHON = python2 '), ale w następnej gałęzi zostanie usunięta i Do kompilacji wymagany będzie Python 3.6.
Z drugiej strony funkcjonalność „Szerokie łącza = tak”, które umożliwia administratorom serwerów plików tworzenie dowiązań symbolicznych do obszaru poza bieżącą partycją SMB / CIFS, przeniesiony z smbd do oddzielnego modułu "vfs_widelinks".
Obecnie ten moduł jest ładowany automatycznie, jeśli w konfiguracji występuje parametr „szerokie linki = tak”.
W przyszłości planowane jest usunięcie obsługi „szerokich linków = tak” ze względów bezpieczeństwa, użytkownikom Samby zdecydowanie zaleca się używanie "mount –bind" do montowania zewnętrznych części systemu plików zamiast "wide links = yes".
Zauważ, że programiści Samby zalecają zmianę wszystkich instalacji, które obecnie używają „wide links = yes”, aby jak najszybciej używały montowań linków, ponieważ „wide links = yes” jest z natury niezabezpieczonym ustawieniem, które chcielibyśmy usunąć z Samby. Przeniesienie tej funkcji do modułu VFS pozwoli w przyszłości zrobić to w bardziej przejrzysty sposób.
Obsługa kontrolera domeny w trybie klasycznym została wycofana. Użytkownicy kontrolerów domeny typu NT4 („klasyczne”) muszą przeprowadzić migrację do kontrolerów domeny Samba Active Directory, aby móc pracować z nowoczesnymi klientami Windows.
Niezabezpieczone metody uwierzytelniania, których można używać tylko z protokołem SMBv1, są przestarzałe: „logowanie do domeny”, „surowe uwierzytelnianie NTLMv2”, „uwierzytelnianie w postaci zwykłego tekstu klienta”, „uwierzytelnianie klienta NTLMv2”, „uwierzytelnianie lanman client” i „spnego client use”.
Usunięto również obsługę opcji „ldap ssl ads” z pliku smb.conf. Następna wersja ma usunąć opcję „kanał serwera”.
Wśród innych zmian, które się wyróżniają, są eliminacja:
- Usunięto reklamy Ldap ssl
- smb2 wyłącza weryfikację sekwencji blokady
- smb2 wyłącz ponowną próbę przerwania blokady
- logowania do domeny
- surowe uwierzytelnianie NTLMv2
- uwierzytelnianie klienta w postaci zwykłego tekstu
- Klient uwierzytelniania NTLMv2
- klient uwierzytelniania lanman
- Korzystanie ze spnego klienta
- Kanał z serwera zostanie usunięty w wersji 4.13.0
- Przestarzała opcja smb.conf „ldap ssl ads” została usunięta.
- Przestarzała opcja „server schannel” smb.conf najprawdopodobniej została usunięta w ostatecznej wersji 4.13.0.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat o zmianach w nowej wersji Samby, możesz je poznać W poniższym linku.