這 發行新版本的Samba 4.13,其中的版本 該漏洞的解決方案已添加 幾天前被發現 零登錄 (CVE-2020-1472),除了此新版本中的內容外,Python要求已更改為3.6版以及其他更改。
對於那些不熟悉Samba的人,您應該知道這是一個項目,它將繼續開發Samba 4.x分支,並完全實現域控制器和Active Directory服務,與Windows 2000實現兼容,並且能夠提供所有版本的服務。 Microsoft所支持的Windows客戶端數量,包括Windows 10。
桑巴舞4,是 多功能服務器產品 它還提供了文件服務器,打印服務和身份驗證服務器(winbind)的實現。
Samba 4.13的主要新功能
在此協議的新版本中 添加了ZeroLogon漏洞修復 (CVE-2020-1472),它可能允許攻擊者在不使用“服務器schannel = yes”設置的系統上獲得域控制器上的管理員權限(如果您想了解更多您可以在博客上查看我們共享的出版物。 鏈接是這個)
在此新版本的Samba中進行的另一項更改是 最低Python要求已從Python 3.5提升到Python 3.6。 儘管仍然保留了使用Python 2構建文件服務器的功能(在運行./configure和make之前,您需要設置環境變量PYTHON = python2),但是在下一個分支中,它將被刪除並編譯需要Python 3.6。
另一方面,功能 “寬鏈接=是”,它允許文件服務器管理員創建符號鏈接 到當前SMB / CIFS分區之外的區域,它已從smbd移至單獨的“ vfs_widelinks”模塊。
當前,如果配置中有“寬鏈接=是”參數,則會自動加載此模塊。
計劃將來刪除對“寬鏈接=是”的支持 出於安全考慮,強烈建議samba用戶使用“ mount –bind”來裝載文件系統的外部部分,而不要使用“ wide links = yes”。
請注意,Samba開發人員建議盡快將當前使用“寬鏈接=是”的所有安裝更改為使用鏈接安裝,因為“寬鏈接=是”是我們希望從Samba中刪除的一種內在不安全的設置。 將功能部件移動到VFS模塊中,可以在將來以更簡潔的方式完成此操作。
經典模式下對域控制器的支持已被棄用。 NT4類型(“經典”)域控制器的用戶必須遷移到Samba Active Directory域控制器,才能與現代Windows客戶端一起使用。
不建議僅與SMBv1一起使用的不安全身份驗證方法:“域登錄”,“原始NTLMv2身份驗證”,“客戶端純文本身份驗證”,“ NTLMv2客戶端身份驗證”,“ lanman身份驗證客戶端”和“ spenogo客戶端用法”。
此外,smb.conf中對“ ldap ssl ads”選項的支持也已刪除。 下一版本將刪除“服務器通道”選項。
其他突出的變化是 消除:
- LDAP SSL廣告已刪除
- smb2禁用鎖序列驗證
- smb2禁用oplock中斷重試
- 域登錄
- 原始NTLMv2身份驗證
- 客戶端明文身份驗證
- NTLMv2身份驗證客戶端
- lanman auth客戶端
- 使用spnego客戶端
- 來自服務器的通道將在版本4.13.0中刪除
- 不推薦使用的smb.conf選項“ ldap ssl ads”已被刪除。
- 不建議使用的選項“ server schannel” smb.conf最有可能在最終版本4.13.0中刪除。
終於 如果您想了解更多 關於此新版本的Samba中的更改,您可以了解它們 在下面的鏈接中。