SAMBA+
SerNet

Blog

SAMBA+ meta-data symlink Schwachstellen CVE-2021-43566 und CVE-2021-20316

SAMBA+ 4.13.16 ist soeben veröffentlicht worden. Dies ist eine Sicherheitsversion, die CVE-2021-43566 behebt. Die Pakete sind für verschiedene SUSE und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX.

Alle Versionen des Samba-Dateiservers vor 4.15.0 sind betroffen von CVE-2021-20316. Samba-Versionen vor 4.15.0 können nicht gepatcht werden.

Bitte aktualisieren Sie betroffene Systeme so bald wie möglich. Wenn möglich, aktualisieren Sie auf SAMBA+ 4.15, andernfalls konsultieren Sie die Release Notes für mögliche Abhilfemaßnahmen für CVE-2021-20316.

SAMBA+-Pakete sind als Software-Abonnement erhältlich. Sie können im SAMBA+ Shop erworben werden, detaillierte Informationen und Preise sind unter https://shop.samba.plus aufgeführt. Die Abonnements werden verwaltet auf unserer Plattform OPOSSO (https://oposso.samba.plus). Benutzer können hier ihre Abonnements aktivieren und ihre Zugangsberechtigungen verwalten. Die neuen SAMBA+ Pakete sind in bereits bestehenden Abonnements enthalten.

Call for Papers für sambaXP 2022 gestartet
Vorträge für die sambaXP 2022 gesucht

Update: Aufgrund der andauernden Corona-Pandemie, hat sich das Organisations-Komitee dazu entschlossen, die sambaXP 2022 nochmals als virtuelles Event zu veranstalten.

Der Call for Papers für die 21. sambaXP hat offiziell begonnen! SerNet wird vom 31. Mai bis 2. Juni 2022 im Hotel Freizeit In in Göttingen das Jahrestreffen der internationalen samba Community ausrichten. Early Bird Tickets für die Konferenz sind bereits erhältlich. Ticketbuchungen und weitere Informationen zum CfP hier: sambaxp.org.

Tickets für die Konferenz (1. & 2. Juni 2022) sind bis zum 28. Februar 2022 zum Frühbucherpreis von 399 Euro erhältlich. Danach beträgt der reguläre Preis 499 Euro. Darüber hinaus sind für den 31. Mai Tutorien geplant, über die wir zu einem späteren Zeitpunkt informieren werden.

Nach derzeitigem Stand ist geplant, die Konferenz wieder vor Ort stattfinden zu lassen. Das gesamte SerNet- und Samba@SerNet-Team freut sich darauf, alle in Göttingen wiederzusehen. Nichtsdestotrotz beobachten wir die Situation kontinuierlich und werden je nach aktueller Entwicklung gegebenenfalls neu entscheiden.

SDC 2021 Aufzeichnungen: Samba VFS und Multi-Channel/io_uring
Ralph Böhme zu "The new Samba VFS"

Die Aufzeichnungen der Storage Developer Conference 2021 sind nun online, darunter auch die des SerNet Samba Teams. Ralph Böhme sprach über "Das neue Samba VFS" und Stefan Metzmacher präsentierte ein Status Update zu "Samba Multi-Channel/io_uring".

Das Video zu "Das neue Samba VFS" von Ralph Böhme ist auf YouTube zu sehen: https://youtu.be/D9EZO3gkT9U, ebenfalls verfügbar sind die Folien.

Abstract: Beginnend mit Version 4.14 bietet Samba einen Core Infrastructure Code, der es erlaubt, alle Zugriffe auf das Dateisystem des Servers auf Filehandles und nicht auf Pfaden zu basieren. Ein Beispiel dafür ist die Verwendung von fstat() anstelle von stat(), oder SMB_VFS_FSTAT() anstelle von SMB_VFS_STAT() in der Samba-Sprache. In der Vergangenheit hatte der Fileserver-Code von Samba viel mit der Verarbeitung von pfadbasierten SMB-Anfragen zu tun. Während das SMB-Protokoll selbst gestrafft wurde, um ab SMB2 rein handle-basiert zu sein, blieben große Teile des Infrastrukturcodes bestehen, die handle-basierte SMB2-Anfragen zu pfadbasiertem Dateisystemzugriff "degradieren". Um die handle-basierte Natur des SMB2-Protokolls voll auszunutzen, haben wir einen einfachen Weg gefunden, diesen Infrastrukturcode zu konvertieren, so dass er in eine rein handle-basierte VFS-Schnittstelle umgewandelt werden kann. Der Vortrag zeigt, was wir bisher erreicht haben und was noch zu tun ist. Er richtet sich an alle, die am Samba Fileserver Code und an den Samba VFS Modulen arbeiten.

Das"Samba Multi-Channel/io_uring Status Update" von Stefan Metzmacher gibt es auch auf YouTube: https://youtu.be/fnA4imgBsUo, Slides sind verfügbar.

Abstract: Samba hatte bereits eine ganze Weile experimentelle Unterstützung für Multi-Channel. SMB3 hat ein paar Konzepte, um Anfragen sicher wiederzugeben. Wir implementieren sie nun vollständig (und teilweise besser als ein Windows Server). Der Vortrag erklärt, wie wir die fehlenden Funktionen implementiert haben. Mit dem zunehmenden Netzwerkdurchsatz werden wir einen Punkt erreichen, an dem eine Datenkopie für einen einzelnen CPU-Kern zu viel ist, um sie zu verarbeiten. Dieser Vortrag gibt einen Überblick darüber, wie die io_uring-Infrastruktur des Linux-Kernels genutzt werden kann, um das Kopieren von Daten zu vermeiden und die Last auf die CPU-Kerne zu verteilen. Ein Prototyp hierfür existiert und zeigt hervorragende Ergebnisse.

SAMBA+ 4.15.2, 4.14.10 und 4.13.14 Security Releases

SAMBA+ 4.15.2, 4.14.10 und 4.13.14 wurden soeben von SerNet veröffentlicht. Dies sind wichtige Sicherheits-Updates, bitte aktualisieren Sie die betroffenen Systeme so bald wie möglich. Pakete für verschiedene SUSE und Red Hat Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind ab sofort verfügbar.

Die Pakete beheben die folgenden Probleme:

  • CVE-2020-25717: A user in an AD Domain could become root on domain members.
  • CVE-2020-25718: Samba AD DC did not correctly sandbox Kerberos tickets issued by an RODC.
  • CVE-2020-25719: Samba AD DC did not always rely on the SID and PAC in Kerberos tickets.
  • CVE-2020-25721: Kerberos acceptors need easy access to stable AD identifiers (eg objectSid).
  • CVE-2020-25722: Samba AD DC did not do sufficient access and conformance checking of data stored. 
  • CVE-2016-2124: SMB1 client connections can be downgraded to plaintext authentication.
  • CVE-2021-3738: Use after free in Samba AD DC RPC server.
  • CVE-2021-23192: Subsequent DCE/RPC fragment injection vulnerability.

WICHTIGE HINWEISE:

Diese Version beinhaltet einige Anpassungen im Verhalten, die bestehende Systeme beeinträchtigen können. Es könnten zusätzliche Konfigurationsänderungen erforderlich sein.

Es wurde ein neuer smb.conf-Parameter "min domain uid" (Standardwert 1000) hinzugefügt. Standardmäßig wird keine UNIX uid unterhalb dieses Wertes akzeptiert. Bitte überprüfen Sie Ihre ID-Mapping-Konfiguration.

Der Fallback von 'DOMAIN\user' auf 'user' wurde ebenfalls entfernt, da er gefährlich ist und nicht benötigt wird, wenn nss_winbind verwendet wird (selbst wenn 'winbind use default domain = yes' gesetzt ist).

Es gibt jedoch Setups, die nur zur Authentifizierung mit einer Active Directory-Domäne verbunden sind, aber die Autorisierung wird ohne nss_winbind gehandhabt, indem der Domain Account einem lokalen Benutzer zugeordnet wird, der von nss_file, nss_ldap oder etwas Ähnlichem bereitgestellt wird. HINWEIS: Diese Setups funktionieren nicht mehr ohne explizites Mapping der Benutzer!

Für diese Setups müssen Administratoren die Option 'username map' oder 'username map script' verwenden, um Domänenbenutzer explizit lokalen Benutzern zuzuordnen, z.B. user = DOMAIN\user

Weitere Einzelheiten zu 'username map' oder 'username map script' finden Sie in 'man 5 smb.conf'. Beachten Sie auch, dass sich im obigen Beispiel '\' auf den Standardwert der Option 'winbind separator' bezieht.

Es gibt eine Regression mit der Option "allow trusted domains = no" smb.conf. Sie verhindert, dass der winbind-Dienst gestartet wird. Wir werden so bald wie möglich eine Korrektur bereitstellen.

Außerdem beheben die 4.15.2-Pakete die folgenden Probleme:

  • Bug 14890: Crash in vfs_fruit asking for fsp_get_io_fd() for an XATTR call. 
  • Bug 14846: Fix -k legacy option for client tools like smbclient, rpcclient, net, etc. 
  • Bug 14882: smbXsrv_client_global record validation leads to crash if existing record points at non-existing process.

SAMBA+ Pakete und alle späteren Versionen sind als Software-Abonnement erhältlich. Sie können im SAMBA+ Shop erworben werden, detaillierte Informationen und Preise sind unter https://shop.samba.plus aufgeführt. Die Abonnements werden auf unserer Plattform OPOSSO (https://oposso.samba.plus) verwaltet. Hier können Nutzerinnen und Nutzer ihre Abonnements aktivieren und die Zugangsdaten verwalten. Die neuen SAMBA+-Pakete sind in den bestehenden Abonnements enthalten.

SAMBA+ 4.15.3 steht zum Donwload bereit

SAMBA+ 4.15.3 ist gerade von SerNet veröffentlicht worden. Pakete für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind ab sofort verfügbar.

Diese Pakete beheben mehrere Probleme, die in den Samba 4.15.3 Release Notes aufgeführt sind.

Bitte beachten Sie, dass der Workaround 'username map [script]', der für einige Setups nach der Veröffentlichung von 4.15.2 (CVE-2020-25717) erforderlich war, seit den SAMBA+ 4.15.2-7 Releases (deb- und rpm-Pakete) nicht mehr benötigt wird. Detaillierte Informationen sind in der CVE-2020-25717-Ankündigung enthalten: 

Zusätzlich beheben die neuen 4.15.3-Pakete die folgenden Probleme:

  • Bug 12449: Rekursion in der Windows-DNS-Admin-Gui vermeiden
  • Bug 14927: sysvolcheck und sysvolreset behandeln keine deny ACEs

SAMBA+-Pakete und alle späteren Versionen sind als Software-Abonnement erhältlich. Sie können im SAMBA+ Shop erworben werden, detaillierte Informationen und Preise sind unter https://shop.samba.plus aufgeführt. Die Abonnements werden auf unserer Plattform OPOSSO (https://oposso.samba.plus) verwaltet. Hier können die Nutzer ihre Abonnements aktivieren und die Zugangsdaten verwalten. Die neuen SAMBA+-Pakete sind in den bestehenden Abonnements enthalten.

Contact us
Kontakt
Deutsch English Français