SAMBA+ 4.19.3-5 und 4.18.9-9 sind soeben vom Samba-Team der SerNet veröffentlicht worden. Pakete für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind ab sofort verfügbar.
Die Release-Historie finden Sie hier:
- https://www.samba.org/samba/history/samba-4.19.3.html
- https://www.samba.org/samba/history/samba-4.18.9.html
Der Fix für CVE-2018-14628, der nun Teil der Upstream-Versionen 4.19.3 und 4.18.9 ist, wurde bereits in SAMBA+ 4.19.2 bzw. SAMBA+ 4.18.8 behoben. Der Vollständigkeit halber beschreiben wir noch einmal, wie Sie den aktuellen Fix für die AD-Datenbank anwenden. Wenn Sie das bereits mit dem letzten SAMBA+ Update gemacht haben, müssen Sie die folgenden Schritte nicht noch einmal durchführen.
Maßnahmen zur Behebung von CVE-2018-14628 erforderlich
Das gepatchte Samba schützt bestehende Domains NICHT!
Der Administrator muss den folgenden Befehl ausführen (auf nur einem Domänencontroller), um den Schutz auf eine bestehende Domäne anzuwenden:
samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix
Das obige Verfahren erfordert manuelle Eingriffe, um die Änderungen zu überprüfen, bevor sie angewendet werden. Typische Querys sehen wie folgt aus:
Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
Owner mismatch: SY (in ref) DA(in current)
Group mismatch: SY (in ref) DA(in current)
Part dacl is different between reference and current here is the detail:
(A;;LCRPLORC;;;AU) ACE is not present in the reference
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
(A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
(A;;LCRP;;;BA) ACE is not present in the current
[y/N/all/none] y
Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org' Die Änderung sollte mit 'y' für alle Objekte, bestätigt werden, beginnend mit:
'CN=Deleted Objects'.
