O lançamento da nova versão do Samba 4.13, versão em que a solução para a vulnerabilidade é adicionada que foi detectado alguns dias atrás Logon Zero (CVE-2020-1472), além disso nesta nova versão os requisitos do Python já foram alterados para a versão 3.6 e também outras alterações.
Para quem não conhece o Samba, saiba que este é um projeto que dá continuidade ao desenvolvimento do branch Samba 4.x com uma implementação completa de um controlador de domínio e serviço Active Directory, compatível com a implementação do Windows 2000 e capaz de atender a todas as versões de clientes Windows suportados pela Microsoft, incluindo Windows 10.
Samba 4, é um produto de servidor multifuncional, que também fornece a implementação de um servidor de arquivos, serviço de impressão e servidor de autenticação (winbind).
Principais novos recursos do Samba 4.13
Nesta nova versão do protocolo Adicionada correção de vulnerabilidade ZeroLogon (CVE-2020-1472), que pode permitir que um invasor obtenha direitos de administrador em um controlador de domínio em sistemas que não usam a configuração "server schannel = yes" (Se você quiser saber mais sobre issoVocê pode conferir a publicação que compartilhamos sobre isso aqui no blog. O link é este)
Outra mudança que foi feita nesta nova versão do Samba é que o Os requisitos mínimos do Python foram aumentados do Python 3.5 para o Python 3.6. Embora a capacidade de construir um servidor de arquivos com Python 2 ainda seja preservada (antes de executar ./configure 'e' make ', você precisa definir a variável de ambiente' PYTHON = python2 '), mas no próximo ramo ela será removida e O Python 3.6 será necessário para a compilação.
Por outro lado, a funcionalidade "Links largos = sim", que permite aos administradores de servidor de arquivos criar links simbólicos para uma área fora da partição SMB / CIFS atual, foi movido do smbd para um módulo "vfs_widelinks" separado.
Atualmente, este módulo é carregado automaticamente se houver um parâmetro "links largos = sim" na configuração.
O suporte para "links largos = sim" está planejado para ser removido no futuro devido a questões de segurança, e os usuários de samba são fortemente aconselhados a usar "mount –bind" para montar partes externas do sistema de arquivos ao invés de "links largos = sim".
Observe que os desenvolvedores do Samba recomendam alterar todas as instalações que atualmente usam "links largos = sim" para usar montagens de links o mais rápido possível, já que "links largos = sim" são configurações inerentemente inseguras que gostaríamos de remover do Samba. Mover o recurso para um módulo VFS permite que isso seja feito de uma forma mais limpa no futuro.
O suporte para o controlador de domínio no modo clássico foi preterido. Os usuários de controladores de domínio do tipo NT4 ('clássicos') devem migrar para controladores de domínio Samba Active Directory para trabalhar com clientes Windows modernos.
Os métodos de autenticação inseguros que só podem ser usados com SMBv1 estão obsoletos: "logins de domínio", "autenticação NTLMv2 bruta", "autenticação de texto simples do cliente", "autenticação de cliente NTLMv2", "cliente de autenticação lanman" e "uso de cliente spnego".
Além disso, o suporte para a opção "ldap ssl ads" do smb.conf foi removido. Espera-se que a próxima versão remova a opção "canal do servidor".
Das outras mudanças que se destacam são a eliminação de:
- Anúncios Ldap SSL removidos
- smb2 desativa a verificação da sequência de bloqueio
- smb2 desativar nova tentativa de quebra de bloqueio
- logins de domínio
- autenticação NTLMv2 bruta
- autenticação de texto simples do cliente
- Cliente de autenticação NTLMv2
- cliente de autenticação lanman
- Usando o cliente spnego
- Um canal do servidor será removido na versão 4.13.0
- A opção obsoleta smb.conf "ldap ssl ads" foi removida.
- A opção obsoleta "server schannel" smb.conf provavelmente foi removida na versão final 4.13.0.
Finalmente se você quiser saber mais sobre isso sobre as mudanças nesta nova versão do Samba, você pode conhecê-las no link a seguir.