Ang paglabas ng bagong bersyon ng Samba 4.13, bersyon kung saan ang solusyon sa kahinaan ay idinagdag na napansin ilang araw na ang nakakalipas ZeroLogon (CVE-2020-1472), bilang karagdagan sa bagong bersyon na ito ang mga kinakailangan sa Python ay nabago na sa bersyon 3.6 at iba pang mga pagbabago.
Para sa mga hindi pamilyar sa Samba, dapat mong malaman na ito ay isang proyekto na nagpapatuloy sa pag-unlad ng sangay ng Samba 4.x na may isang buong pagpapatupad ng isang domain controller at serbisyo ng Active Directory, na katugma sa pagpapatupad ng Windows 2000 at may kakayahang maghatid ng lahat ng mga bersyon ng mga kliyente sa Windows na suportado ng Microsoft, kabilang ang Windows 10.
Samba 4, ay isang produktong multifunctional server, na nagbibigay din ng pagpapatupad ng isang file server, print service at pagpapatunay server (winbind).
Pangunahing mga bagong tampok ng Samba 4.13
Sa bagong bersyon ng protocol na ito Naidagdag ang pag-aayos ng kahinaan ng ZeroLogon (CVE-2020-1472), na maaaring payagan ang isang umaatake na makakuha ng mga karapatan ng administrator sa isang domain controller sa mga system na hindi gumagamit ng setting ng "server schannel = yes" (Kung nais mong malaman ang tungkol ditoMaaari mong suriin ang publication na ibinabahagi namin tungkol dito dito sa blog. Ang link ay ito)
Ang isa pang pagbabago na nagawa sa bagong bersyon ng Samba ay ang Ang minimum na mga kinakailangan sa Python ay naitaas mula sa Python 3.5 hanggang Python 3.6. Habang ang kakayahang bumuo ng isang file server na may Python 2 ay napanatili pa rin (bago tumakbo ./configure 'at' make ', kailangan mong itakda ang variable ng kapaligiran na' PYTHON = python2 '), ngunit sa susunod na sangay ay aalisin ito at Ang Python 3.6 ay kinakailangan para sa pagtitipon.
Sa kabilang banda ang pagpapaandar "Malapad na mga link = oo", na nagpapahintulot sa mga administrator ng file server na lumikha ng mga simbolikong link sa isang lugar sa labas ng kasalukuyang partisyon ng SMB / CIFS, inilipat ito mula sa smbd sa isang hiwalay na "vfs_widelinks" na module.
Sa kasalukuyan, ang module na ito ay awtomatikong nai-load kung mayroong isang "malawak na mga link = oo" na parameter sa pagsasaayos.
Ang suporta para sa "malawak na mga link = oo" ay pinlano na alisin sa hinaharap dahil sa mga alalahanin sa seguridad, at ang mga gumagamit ng samba ay masidhing pinayuhan na gamitin ang "mount –bind" upang mai-mount ang mga panlabas na bahagi ng filesystem sa halip na "malawak na mga link = oo".
Tandaan na inirerekomenda ng mga developer ng Samba na baguhin ang anumang mga pag-install na kasalukuyang gumagamit ng "malawak na mga link = oo" upang magamit ang mga pag-mount ng link sa lalong madaling panahon, dahil ang "malawak na mga link = oo" ay likas na hindi siguradong mga setting na nais naming alisin mula sa Samba. Ang paglipat ng tampok sa isang module ng VFS ay nagbibigay-daan ito upang magawa sa isang mas malinis na paraan sa hinaharap.
Ang suporta para sa domain controller sa klasikong mode ay hindi na ginagamit. Ang mga gumagamit ng NT4 uri ('klasiko') mga taga-kontrol ng domain ay dapat na lumipat sa mga kontroler ng domain ng Samba Active Directory upang gumana sa mga modernong kliyente ng Windows.
Ang mga hindi secure na pamamaraan ng pagpapatotoo na maaari lamang magamit sa SMBv1 ay hindi na ginagamit: "mga pag-login sa domain", "hilaw na NTLMv2 pagpapatotoo", "pagpapatotoo ng plaintext ng kliyente", "pagpapatotoo ng client ng NTLMv2", "pagpapatotoo ng lanman client" at "paggamit ng client ng spnego".
Gayundin, ang suporta para sa pagpipiliang "ldap ssl ads" mula sa smb.conf ay tinanggal. Inaasahang tatanggalin ng susunod na bersyon ang pagpipiliang "server channel".
Sa iba pang mga pagbabago na namumukod-tangi ay ang pag-aalis ng:
- Inalis ang mga ldap ssl ad
- Hindi pinagana ng smb2 ang pag-verify ng pagkakasunud-sunod ng lock
- smb2 huwag paganahin ang oplock break subukang muli
- mga pag-login sa domain
- raw NTLMv2 pagpapatotoo
- pagpapatotoo ng plaintext ng client
- NTLMv2 auth client
- lanman auth client
- Paggamit ng spnego client
- Ang isang channel mula sa server ay aalisin sa bersyon 4.13.0
- Ang tinanggal na pagpipilian na smb.conf na "ldap ssl ad" ay tinanggal.
- Ang hindi na ginagamit na pagpipilian ng "server schannel" smb.conf ay malamang na tinanggal sa huling bersyon 4.13.0.
Sa wakas kung nais mong malaman ang tungkol dito tungkol sa mga pagbabago sa bagong bersyon ng Samba, malalaman mo ang mga ito Sa sumusunod na link.