SAMBA+
SerNet

Blog

SAMBA+ 4.15.2, 4.14.10 und 4.13.14 Security Releases

SAMBA+ 4.15.2, 4.14.10 und 4.13.14 wurden soeben von SerNet veröffentlicht. Dies sind wichtige Sicherheits-Updates, bitte aktualisieren Sie die betroffenen Systeme so bald wie möglich. Pakete für verschiedene SUSE und Red Hat Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind ab sofort verfügbar.

Die Pakete beheben die folgenden Probleme:

  • CVE-2020-25717: A user in an AD Domain could become root on domain members.
  • CVE-2020-25718: Samba AD DC did not correctly sandbox Kerberos tickets issued by an RODC.
  • CVE-2020-25719: Samba AD DC did not always rely on the SID and PAC in Kerberos tickets.
  • CVE-2020-25721: Kerberos acceptors need easy access to stable AD identifiers (eg objectSid).
  • CVE-2020-25722: Samba AD DC did not do sufficient access and conformance checking of data stored. 
  • CVE-2016-2124: SMB1 client connections can be downgraded to plaintext authentication.
  • CVE-2021-3738: Use after free in Samba AD DC RPC server.
  • CVE-2021-23192: Subsequent DCE/RPC fragment injection vulnerability.

WICHTIGE HINWEISE:

Diese Version beinhaltet einige Anpassungen im Verhalten, die bestehende Systeme beeinträchtigen können. Es könnten zusätzliche Konfigurationsänderungen erforderlich sein.

Es wurde ein neuer smb.conf-Parameter "min domain uid" (Standardwert 1000) hinzugefügt. Standardmäßig wird keine UNIX uid unterhalb dieses Wertes akzeptiert. Bitte überprüfen Sie Ihre ID-Mapping-Konfiguration.

Der Fallback von 'DOMAIN\user' auf 'user' wurde ebenfalls entfernt, da er gefährlich ist und nicht benötigt wird, wenn nss_winbind verwendet wird (selbst wenn 'winbind use default domain = yes' gesetzt ist).

Es gibt jedoch Setups, die nur zur Authentifizierung mit einer Active Directory-Domäne verbunden sind, aber die Autorisierung wird ohne nss_winbind gehandhabt, indem der Domain Account einem lokalen Benutzer zugeordnet wird, der von nss_file, nss_ldap oder etwas Ähnlichem bereitgestellt wird. HINWEIS: Diese Setups funktionieren nicht mehr ohne explizites Mapping der Benutzer!

Für diese Setups müssen Administratoren die Option 'username map' oder 'username map script' verwenden, um Domänenbenutzer explizit lokalen Benutzern zuzuordnen, z.B. user = DOMAIN\user

Weitere Einzelheiten zu 'username map' oder 'username map script' finden Sie in 'man 5 smb.conf'. Beachten Sie auch, dass sich im obigen Beispiel '\' auf den Standardwert der Option 'winbind separator' bezieht.

Es gibt eine Regression mit der Option "allow trusted domains = no" smb.conf. Sie verhindert, dass der winbind-Dienst gestartet wird. Wir werden so bald wie möglich eine Korrektur bereitstellen.

Außerdem beheben die 4.15.2-Pakete die folgenden Probleme:

  • Bug 14890: Crash in vfs_fruit asking for fsp_get_io_fd() for an XATTR call. 
  • Bug 14846: Fix -k legacy option for client tools like smbclient, rpcclient, net, etc. 
  • Bug 14882: smbXsrv_client_global record validation leads to crash if existing record points at non-existing process.

SAMBA+ Pakete und alle späteren Versionen sind als Software-Abonnement erhältlich. Sie können im SAMBA+ Shop erworben werden, detaillierte Informationen und Preise sind unter https://shop.samba.plus aufgeführt. Die Abonnements werden auf unserer Plattform OPOSSO (https://oposso.samba.plus) verwaltet. Hier können Nutzerinnen und Nutzer ihre Abonnements aktivieren und die Zugangsdaten verwalten. Die neuen SAMBA+-Pakete sind in den bestehenden Abonnements enthalten.

SAMBA+ 4.15.3 steht zum Donwload bereit

SAMBA+ 4.15.3 ist gerade von SerNet veröffentlicht worden. Pakete für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind ab sofort verfügbar.

Diese Pakete beheben mehrere Probleme, die in den Samba 4.15.3 Release Notes aufgeführt sind.

Bitte beachten Sie, dass der Workaround 'username map [script]', der für einige Setups nach der Veröffentlichung von 4.15.2 (CVE-2020-25717) erforderlich war, seit den SAMBA+ 4.15.2-7 Releases (deb- und rpm-Pakete) nicht mehr benötigt wird. Detaillierte Informationen sind in der CVE-2020-25717-Ankündigung enthalten: 

Zusätzlich beheben die neuen 4.15.3-Pakete die folgenden Probleme:

  • Bug 12449: Rekursion in der Windows-DNS-Admin-Gui vermeiden
  • Bug 14927: sysvolcheck und sysvolreset behandeln keine deny ACEs

SAMBA+-Pakete und alle späteren Versionen sind als Software-Abonnement erhältlich. Sie können im SAMBA+ Shop erworben werden, detaillierte Informationen und Preise sind unter https://shop.samba.plus aufgeführt. Die Abonnements werden auf unserer Plattform OPOSSO (https://oposso.samba.plus) verwaltet. Hier können die Nutzer ihre Abonnements aktivieren und die Zugangsdaten verwalten. Die neuen SAMBA+-Pakete sind in den bestehenden Abonnements enthalten.

SAMBA+ 4.14.11 und 4.13.15 veröffentlicht

Das Samba-Team der SerNet hat SAMBA+ 4.14.11 und 4.13.15 veröffentlicht. Die Pakete für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind ab sofort verfügbar.

Diese Pakete beheben mehrere Probleme, die in den Release Notes aufgeführt sind:

Bitte beachten Sie, dass der Workaround 'username map [script]', der für einige Setups nach der Veröffentlichung von 4.14.10 und 4.13.14 erforderlich war (CVE-2020-25717), nicht mehr benötigt wird. Detaillierte Informationen sind in der CVE-2020-25717-Ankündigung enthalten.

SAMBA+-Pakete und alle späteren Versionen sind als Software-Abonnement erhältlich. Sie können im SAMBA+ Shop erworben werden, detaillierte Informationen und Preise sind unter https://shop.samba.plus aufgeführt. Die Abonnements werden auf unserer Plattform OPOSSO (https://oposso.samba.plus) verwaltet. Hier können die Nutzer ihre Abonnements aktivieren und die Zugangsdaten verwalten. Die neuen SAMBA+-Pakete sind in den bestehenden Abonnements enthalten.

ksmbd: ein neuer SMB-Server im Kernel
ksmbd vs. Samba

"ksmbd" ist ein neues Linux-Kernelmodul, das einen SMB-Server implementiert. Es zielt darauf ab, ein leistungsfähiger Dateiserver mit geringem Overhead und geringem Platzbedarf zu sein, der viele grundlegende Anwendungsfälle abdeckt. Von diesen ist der Betrieb auf kleineren Geräten mit begrenzten Ressourcen der offensichtlichste: OpenWRT, die Linux-Distribution für eingebettete Geräte, hat ksmbd bereits vor 18 Monaten übernommen, als ksmbd noch in der Entwicklung war.

ksmbd wird ab November 2021 als Teil der nächsten Linux-Kernel-Version 5.15 der Öffentlichkeit zugänglich gemacht. Er soll den bestehenden Samba-Fileserver "smbd" nicht ersetzen, sondern eher eine Erweiterung sein und sich in Zukunft in Samba integrieren. Der Samba-Fileserver smbd ist viel breiter angelegt und unterstützt verschiedene Anwendungsfälle und Funktionen, die ksmbd nicht bedient:

  • Ausführung als Mitglied einer Active-Directory-Domäne
  • Scale-out-Clustering
  • Optimierung für bestimmte Dateisysteme wie GlusterFS oder Ceph über dedizierte VFS-Module
  • Unterstützung von Shadow Copy

Auch wenn es sich bei ksmbd um einen SMB3-Server handelt, dem nur einige fortgeschrittene Funktionen wie Durable Handles, Directory Leases und Multi-Channel fehlen, kann er derzeit nur lokale Benutzer und Passwörter verwenden. Das schließt den Einsatz in Unternehmensumgebungen aus, in denen normalerweise Active Directory oder ähnliche ID-Ressourcen verwendet werden.

ksmbd verspricht Leistungsverbesserungen bei einer Vielzahl von Benchmarks: Die Diagramme auf dieser Seite zeigen eine Verdoppelung der Leistung bei einigen Tests. Es wird außerdem darauf verwiesen, dass ein In-Kernel-Server wahrscheinlich einfacher SMB Direct unterstützen kann, das RDMA für die Datenübertragung zwischen Systemen verwendet.

Natürlich sind diese Zahlen beeindruckend, aber gleichzeitig relativieren sich die jüngsten Verbesserungen der IO-Leistung von Samba: Durch die Nutzung der neuen "io_uring"-Linux-API ist Samba in der Lage, einen etwa 10-fachen Durchsatz im Vergleich zu ksmbd zu bieten.

Die Zeit wird zeigen, ob es besser ist, im Kernel-Space wie ksmbd oder im User-Space wie Samba zu operieren, um das letzte Quäntchen Leistung aus der verfügbaren Hardware herauszuquetschen.

Wie ausgereift ist ksmbd? Da es hauptsächlich von einem Samsung-Ingenieur entwickelt wurde, ist es wahrscheinlich, dass es heute in Samsung-Produkten verwendet wird. Bei der Novemberversion handelt es sich jedoch um eine .0-Version mit allen damit verbundenen Vorbehalten. Einige der Details, einschließlich verschiedener Sicherheitsprobleme, die erst recht spät gefunden und behoben wurden, sind in einem Artikel bei LWN beschrieben.

Alles in allem ist ksmbd eine beeindruckende Arbeit, und um die Zusammenarbeit zu erleichtern und zu fördern, wurde der Hauptentwickler von ksmbd, Namjae Jeon, eingeladen, dem internationalen Samba Team beizutreten. ksmbd fügt dem Mix bereits interessante Fähigkeiten hinzu, und das SerNet Samba-Team freut sich auf die Arbeit mit und an ksmbd!

SAMBA+ 4.13.13 verfügbar

SAMBA+ 4.13.13 ist soeben von SerNet veröffentlicht worden. Pakete für verschiedene SUSE und Red Hat Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind ab sofort verfügbar.

Die Release Notes sind hier verfügbar:

Diese Version behebt außerdem ein Sicherheitsproblem im Zusammenhang mit der Kerberos-Authentifizierung. Wie üblich empfehlen wir, auf die neueste Bugfix-Version des Hauptversionszweigs zu aktualisieren, den Sie verwenden.

SAMBA+ Pakete und alle späteren Versionen sind als Software-Abonnement erhältlich. Sie können im SAMBA+ Shop erworben werden, detaillierte Informationen und Preise sind unter https://shop.samba.plus aufgeführt. Die Abonnements werden auf unserer Plattform OPOSSO (https://oposso.samba.plus) verwaltet. Hier können Nutzerinnen und Nutzer ihre Abonnements aktivieren und die Zugangsdaten verwalten. Die neuen SAMBA+-Pakete sind in den bestehenden Abonnements enthalten.

Contact us
Kontakt
Deutsch English Français