The izdaja nove različice Sambe 4.13, različica v kateri dodana je rešitev ranljivosti ki je bila zaznana pred nekaj dnevi ZeroLogon (CVE-2020-1472), poleg tega, da so se v tej novi različici zahteve Pythona že spremenile v različico 3.6 in tudi druge spremembe.
Za tiste, ki Sambe ne poznajo, vedite, da gre za projekt, ki nadaljuje razvoj podružnice Samba 4.x s popolno implementacijo krmilnika domen in storitvijo Active Directory, združljiv z implementacijo sistema Windows 2000 in lahko služi vsem različicam sistema Windows odjemalci, ki jih podpira Microsoft, vključno z Windows 10.
Samba 4, je večnamenski strežniški izdelek, ki zagotavlja tudi izvajanje datotečnega strežnika, storitve tiskanja in strežnika za preverjanje pristnosti (winbind).
Glavne novosti Sambe 4.13
V tej novi različici protokola Dodan popravek ranljivosti ZeroLogon (CVE-2020-1472), ki bi lahko napadalcu omogočil, da pridobi skrbniške pravice na krmilniku domene v sistemih, ki ne uporabljajo nastavitve "server schannel = yes" (Če želite vedeti več o temPublikacijo, ki jo delimo o tem, lahko preverite tukaj na blogu. Povezava je to)
Druga sprememba, ki je bila narejena v tej novi različici Sambe, je, da Minimalne zahteve za Python so bile zvišane s Python 3.5 na Python 3.6. Čeprav je zmožnost gradnje datotečnega strežnika s Pythonom 2 še vedno ohranjena (pred zagonom ./configure 'in' make 'morate nastaviti spremenljivko okolja' PYTHON = python2 '), vendar bo v naslednji veji odstranjena in Za prevajanje bo potreben Python 3.6.
Po drugi strani pa funkcionalnost "Široke povezave = da", ki skrbnikom datotečnih strežnikov omogoča ustvarjanje simbolnih povezav na območje zunaj trenutne particije SMB / CIFS je bilo premaknjeno iz smbd v ločen modul "vfs_widelinks".
Trenutno se ta modul naloži samodejno, če je v konfiguraciji parameter "široke povezave = da".
Podporo za "široke povezave = da" naj bi v prihodnosti odstranili zaradi varnostnih težav uporabnikom sambe toplo priporočamo, da namesto "široke povezave = da" za namestitev zunanjih delov datotečnega sistema uporabijo "mount –bind".
Upoštevajte, da razvijalci Sambe priporočajo, da katero koli namestitev, ki trenutno uporablja "široke povezave = da", čim prej uporabijo nosilce povezav, saj je "široke povezave = da" sama po sebi negotova nastavitev, ki bi jo radi odstranili iz Sambe. Če funkcijo premaknete v modul VFS, lahko to v prihodnje počnete na čistejši način.
Podpora za krmilnik domene v klasičnem načinu je opuščena. Uporabniki krmilnikov domen tipa NT4 ("klasični") se morajo preseliti na krmilnike domen Samba Active Directory, da lahko delajo s sodobnimi odjemalci sistema Windows.
Nevarne metode preverjanja pristnosti, ki jih je mogoče uporabljati samo z SMBv1, so zastarele: "prijave v domeno", "neobdelana overitev NTLMv2", "overjanje pristnosti odjemalca v navadnem besedilu", "preverjanje pristnosti odjemalca NTLMv2", "odjemalsko preverjanje pristnosti" in "uporaba odjemalca spnego".
Prav tako je bila odstranjena podpora za možnost "ldap ssl ads" s spletnega mesta smb.conf. Naslednja različica naj bi odstranila možnost "strežniški kanal".
Med drugimi spremembami, ki izstopajo, so odprava:
- Ldap ssl oglasi odstranjeni
- smb2 onemogoči preverjanje zaporedja zaklepanja
- smb2 onemogoči zlom zaklepanja poskus
- prijave za domeno
- surovo overjanje NTLMv2
- odjemalsko navadno besedilo
- Odjemalec NTLMv2 auth
- odjemalca lanman auth
- Uporaba odjemalca spnego
- Kanal s strežnika bo odstranjen v različici 4.13.0
- Zastarela možnost smb.conf "ldap ssl ads" je bila odstranjena.
- Zastarela možnost "schannel server" smb.conf je bila najverjetneje odstranjena v končni različici 4.13.0.
Končno če želite vedeti več o tem o spremembah v tej novi različici Sambe, jih lahko poznate V naslednji povezavi.