SAMBA+ 4.15.2, 4.14.10 und 4.13.14 wurden soeben von SerNet veröffentlicht. Dies sind wichtige Sicherheits-Updates, bitte aktualisieren Sie die betroffenen Systeme so bald wie möglich. Pakete für verschiedene SUSE und Red Hat Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind ab sofort verfügbar.
Die Pakete beheben die folgenden Probleme:
- CVE-2020-25717: A user in an AD Domain could become root on domain members.
- CVE-2020-25718: Samba AD DC did not correctly sandbox Kerberos tickets issued by an RODC.
- CVE-2020-25719: Samba AD DC did not always rely on the SID and PAC in Kerberos tickets.
- CVE-2020-25721: Kerberos acceptors need easy access to stable AD identifiers (eg objectSid).
- CVE-2020-25722: Samba AD DC did not do sufficient access and conformance checking of data stored.
- CVE-2016-2124: SMB1 client connections can be downgraded to plaintext authentication.
- CVE-2021-3738: Use after free in Samba AD DC RPC server.
- CVE-2021-23192: Subsequent DCE/RPC fragment injection vulnerability.
WICHTIGE HINWEISE:
Diese Version beinhaltet einige Anpassungen im Verhalten, die bestehende Systeme beeinträchtigen können. Es könnten zusätzliche Konfigurationsänderungen erforderlich sein.
Es wurde ein neuer smb.conf-Parameter "min domain uid" (Standardwert 1000) hinzugefügt. Standardmäßig wird keine UNIX uid unterhalb dieses Wertes akzeptiert. Bitte überprüfen Sie Ihre ID-Mapping-Konfiguration.
Der Fallback von 'DOMAIN\user' auf 'user' wurde ebenfalls entfernt, da er gefährlich ist und nicht benötigt wird, wenn nss_winbind verwendet wird (selbst wenn 'winbind use default domain = yes' gesetzt ist).
Es gibt jedoch Setups, die nur zur Authentifizierung mit einer Active Directory-Domäne verbunden sind, aber die Autorisierung wird ohne nss_winbind gehandhabt, indem der Domain Account einem lokalen Benutzer zugeordnet wird, der von nss_file, nss_ldap oder etwas Ähnlichem bereitgestellt wird. HINWEIS: Diese Setups funktionieren nicht mehr ohne explizites Mapping der Benutzer!
Für diese Setups müssen Administratoren die Option 'username map' oder 'username map script' verwenden, um Domänenbenutzer explizit lokalen Benutzern zuzuordnen, z.B. user = DOMAIN\user
Weitere Einzelheiten zu 'username map' oder 'username map script' finden Sie in 'man 5 smb.conf'. Beachten Sie auch, dass sich im obigen Beispiel '\' auf den Standardwert der Option 'winbind separator' bezieht.
Es gibt eine Regression mit der Option "allow trusted domains = no" smb.conf. Sie verhindert, dass der winbind-Dienst gestartet wird. Wir werden so bald wie möglich eine Korrektur bereitstellen.
Außerdem beheben die 4.15.2-Pakete die folgenden Probleme:
- Bug 14890: Crash in vfs_fruit asking for fsp_get_io_fd() for an XATTR call.
- Bug 14846: Fix -k legacy option for client tools like smbclient, rpcclient, net, etc.
- Bug 14882: smbXsrv_client_global record validation leads to crash if existing record points at non-existing process.
SAMBA+ Pakete und alle späteren Versionen sind als Software-Abonnement erhältlich. Sie können im SAMBA+ Shop erworben werden, detaillierte Informationen und Preise sind unter https://shop.samba.plus aufgeführt. Die Abonnements werden auf unserer Plattform OPOSSO (https://oposso.samba.plus) verwaltet. Hier können Nutzerinnen und Nutzer ihre Abonnements aktivieren und die Zugangsdaten verwalten. Die neuen SAMBA+-Pakete sind in den bestehenden Abonnements enthalten.
