这 发行新版本的Samba 4.13,其中的版本 该漏洞的解决方案已添加 几天前被发现 零登录 (CVE-2020-1472),除了此新版本中的内容外,Python要求已更改为3.6版以及其他更改。
对于那些不熟悉Samba的人,您应该知道这是一个项目,它将继续开发Samba 4.x分支,并完全实现域控制器和Active Directory服务,与Windows 2000实现兼容,并且能够提供所有版本的服务。 Microsoft所支持的Windows客户端数量,包括Windows 10。
桑巴舞4是 多功能服务器产品 它还提供了文件服务器,打印服务和身份验证服务器(winbind)的实现。
Samba 4.13的主要新功能
在此协议的新版本中 添加了ZeroLogon漏洞修复 (CVE-2020-1472),它可能允许攻击者在不使用“服务器schannel = yes”设置的系统上获得域控制器上的管理员权限(如果您想了解更多您可以在博客上查看我们共享的出版物。 链接是这个)
在此新版本的Samba中进行的另一项更改是 最低Python要求已从Python 3.5提升到Python 3.6。 尽管仍然保留了使用Python 2构建文件服务器的功能(在运行./configure和make之前,您需要设置环境变量PYTHON = python2),但是在下一个分支中,它将被删除并编译需要Python 3.6。
另一方面,功能 “宽链接=是”,它允许文件服务器管理员创建符号链接 到当前SMB / CIFS分区之外的区域,它已从smbd移至单独的“ vfs_widelinks”模块。
当前,如果配置中有“宽链接=是”参数,则会自动加载此模块。
计划将来删除对“宽链接=是”的支持 出于安全考虑,强烈建议samba用户使用“ mount –bind”来装载文件系统的外部部分,而不要使用“ wide links = yes”。
请注意,Samba开发人员建议尽快将当前使用“宽链接=是”的所有安装更改为使用链接安装,因为“宽链接=是”是我们希望从Samba中删除的一种内在不安全的设置。 将功能部件移动到VFS模块中,可以在将来以更简洁的方式完成此操作。
经典模式下对域控制器的支持已被弃用。 NT4类型(“经典”)域控制器的用户必须迁移到Samba Active Directory域控制器,才能与现代Windows客户端一起使用。
不建议仅与SMBv1一起使用的不安全身份验证方法:“域登录”,“原始NTLMv2身份验证”,“客户端纯文本身份验证”,“ NTLMv2客户端身份验证”,“ lanman身份验证客户端”和“ spenogo客户端用法”。
此外,smb.conf中对“ ldap ssl ads”选项的支持也已删除。 下一版本将删除“服务器通道”选项。
其他突出的变化是 消除:
- LDAP SSL广告已删除
- smb2禁用锁序列验证
- smb2禁用oplock中断重试
- 域登录
- 原始NTLMv2身份验证
- 客户端明文身份验证
- NTLMv2身份验证客户端
- lanman auth客户端
- 使用spnego客户端
- 来自服务器的通道将在版本4.13.0中删除
- 不推荐使用的smb.conf选项“ ldap ssl ads”已被删除。
- 不建议使用的“服务器schannel” smb.conf选项最有可能在最终版本4.13.0中删除。
最后 如果您想了解更多 关于这个新版本的Samba中的更改,您可以了解它们 在下面的链接中。