SAMBA+ 4.19.2 verfügbar, CVE-2018-14628: Maßnahmen erforderlich

SAMBA+ 4.19.2-4 wurde soeben vom Samba-Team der SerNet veröffentlicht. Pakete für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind jetzt verfügbar.

https://www.samba.org/samba/history/samba-4.19.2.html

Zusätzlich zu den Fixes aus den obigen Release Notes enthält SAMBA+ noch 2 weitere bemerkenswerte Fixes:

Ein Fix für Kerboros User2User TGS-REQ, der unter bestimmten Umständen verhindert, dass Benutzer Tickets für sich selbst abrufen können:

https://bugzilla.samba.org/show_bug.cgi?id=15492

Noch wichtiger ist die zweite zusätzliche Änderung, die die Berechtigung des Containers für gelöschte Objekte korrigiert (CVE-2018-14628). Es ist jedoch erforderlich, einen Befehl auszuführen, um die Berechtigung zu korrigieren, da die ACLs auf dem Container nicht automatisch geändert werden. Sie müssen Folgendes tun, um die Berechtigung zu korrigieren:

==================================================
Erforderliche Maßnahme zur Behebung von CVE-2018-14628
==================================================

Das gepatchte Samba schützt bestehende Domänen NICHT!

Der Administrator muss den folgenden Befehl ausführen (auf nur einem Domänencontroller), um den Schutz auf eine bestehende Domäne anzuwenden:

  samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix

Dies erfordert manuelle Eingriffe, um die Änderungen zu überprüfen, bevor sie angewendet werden. Typische Fragen sehen wie folgt aus:

  Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
        Owner mismatch: SY (in ref) DA(in current)
        Group mismatch: SY (in ref) DA(in current)
        Part dacl is different between reference and current here is the detail:
                (A;;LCRPLORC;;;AU) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
                (A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
                (A;;LCRP;;;BA) ACE is not present in the current
   [y/N/all/none] y
  Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org'

Die Änderung sollte mit "y" für alle Objekte, die mit "CN=Deleted Objects" beginnen, bestätigt werden.

Die nächsten Updates der SAMBA+-Pakete 4.17 und 4.18 werden auch CVE-2018-14628 beheben.

SAMBA+-Pakete sind als Software-Abonnements erhältlich und können im SAMBA+-Shop erworben werden. Detaillierte Informationen und Preise finden Sie unter usdshop.samba.plus (Währung: USD) oder shop.samba.plus (Währung: EUR). Die neuen SAMBA+-Pakete sind in den bestehenden Abonnements enthalten. Wenn Sie weitere Fragen haben oder ein Angebot anfordern möchten, können Sie uns gerne kontaktieren.

SerNet Samba-Team

Contact us
Kontakt
Deutsch English Français