The Samba 4.13'ün yeni sürümünün piyasaya sürülmesihangi versiyonda güvenlik açığına çözüm eklendi birkaç gün önce tespit edildi SıfırOturum Açma (CVE-2020-1472), bu yeni sürümde Python gereksinimlerinin 3.6 sürümüne ve diğer değişikliklere zaten değişmiş olmasına ek olarak.
Samba'ya aşina olmayanlar için, bunun, Windows 4 uygulamasıyla uyumlu ve tüm sürümlere hizmet verebilen, bir etki alanı denetleyicisi ve Active Directory hizmetinin tam uygulamasıyla Samba 2000.x şubesinin gelişimini sürdüren bir proje olduğunu bilmelisiniz. Windows 10 dahil olmak üzere Microsoft tarafından desteklenen Windows istemcileri.
Samba 4, çok işlevli bir sunucu ürünü, Bu ayrıca bir dosya sunucusu, yazdırma hizmeti ve kimlik doğrulama sunucusunun (winbind) uygulanmasını sağlar.
Samba 4.13'ün başlıca yeni özellikleri
Protokolün bu yeni versiyonunda ZeroLogon güvenlik açığı düzeltmesi eklendi (CVE-2020-1472), bir saldırganın "server schannel = yes" ayarını (Onun hakkında daha fazla bilgi edinmek istiyorsanızBununla ilgili paylaştığımız yayına buradan blog üzerinden göz atabilirsiniz. Bağlantı bu)
Samba'nın bu yeni sürümünde yapılan bir diğer değişiklik ise, Minimum Python gereksinimleri Python 3.5'ten Python 3.6'ya yükseltildi. Python 2 ile bir dosya sunucusu oluşturma yeteneği hala korunurken (./configure 've' make 'komutunu çalıştırmadan önce,' PYTHON = python2 'ortam değişkenini ayarlamanız gerekir), ancak sonraki dalda kaldırılacak ve Derleme için Python 3.6 gerekli olacaktır.
Öte yandan işlevsellik Dosya sunucusu yöneticilerinin sembolik bağlantılar oluşturmasına izin veren "Geniş bağlantılar = evet" geçerli SMB / CIFS bölümünün dışındaki bir alana, smbd'den ayrı bir "vfs_widelinks" modülüne taşındı.
Şu anda, yapılandırmada "geniş bağlantılar = evet" parametresi varsa bu modül otomatik olarak yüklenir.
"Geniş bağlantılar = evet" desteğinin gelecekte kaldırılması planlanıyor güvenlik kaygıları nedeniyle ve samba kullanıcılarının dosya sisteminin dış kısımlarını bağlamak için "geniş bağlantılar = evet" yerine "mount –bind" kullanmaları şiddetle tavsiye edilir.
Samba geliştiricilerinin şu anda "geniş bağlantılar = evet" kullanan tüm kurulumları mümkün olan en kısa sürede bağlantı bağlantılarını kullanmak için değiştirmelerini tavsiye ettiklerini unutmayın, çünkü "geniş bağlantılar = evet", Samba'dan kaldırmak istediğimiz, doğası gereği güvenli olmayan bir ayardır. Özelliğin bir VFS modülüne taşınması, bunun gelecekte daha temiz bir şekilde yapılmasını sağlar.
Klasik modda etki alanı denetleyicisi desteği kullanımdan kaldırıldı. NT4 tipi ('klasik') etki alanı denetleyicilerinin kullanıcıları, modern Windows istemcileriyle çalışmak için Samba Active Directory etki alanı denetleyicilerine geçmelidir.
Yalnızca SMBv1 ile kullanılabilen güvenli olmayan kimlik doğrulama yöntemleri kullanımdan kaldırılmıştır: "etki alanı oturum açma işlemleri", "ham NTLMv2 kimlik doğrulaması", "istemci düz metin kimlik doğrulaması", "NTLMv2 istemci kimlik doğrulaması", "kimlik doğrulama lanman istemcisi" ve "spnego istemci kullanımı".
Ayrıca smb.conf'daki "ldap ssl ads" seçeneği desteği kaldırıldı. Bir sonraki sürümün "sunucu kanalı" seçeneğini kaldırması bekleniyor.
Öne çıkan diğer değişikliklerden ortadan kaldırılması:
- Ldap ssl reklamları kaldırıldı
- smb2, kilit sırası doğrulamasını devre dışı bırakır
- smb2 oplock break yeniden denemeyi devre dışı bırak
- etki alanı girişleri
- ham NTLMv2 kimlik doğrulaması
- istemci düz metin kimlik doğrulaması
- NTLMv2 kimlik doğrulama istemcisi
- lanman kimlik doğrulama istemcisi
- Spnego istemcisini kullanma
- 4.13.0 sürümünde sunucudan bir kanal kaldırılacak
- Kullanımdan kaldırılan smb.conf seçeneği "ldap ssl ads" kaldırılmıştır.
- Kullanımdan kaldırılan "sunucu schannel" smb.conf seçeneği büyük olasılıkla son sürüm 4.13.0'da kaldırılmıştır.
Nihayet onun hakkında daha fazlasını bilmek istiyorsan Samba'nın bu yeni sürümündeki değişiklikler hakkında bilgi sahibi olabilirsiniz. Aşağıdaki bağlantıda.