SAMBA+
SerNet

Blog

Security-Releases für SAMBA+ 4.12.7, 4.11.13 und 4.10.18

Die Pakete SAMBA+ 4.12.7, 4.11.13 und 4.10.18 wurden soeben von SerNet veröffentlicht. Dies sind wichtige Security-Releases zum Thema "ZeroLogon". Bitte aktualisieren Sie betroffene Systeme so schnell wie möglich. Die Pakete sind für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX verfügbar.

Die Pakete befassen sich mit folgendem Problem:

Die neuen SAMBA+ 4.12.7-Pakete befassen sich auch mit dem folgenden Problem:

Um die Authentizität zu gewährleisten, werden die sernet-samba rpm-Pakete mit dem gpg-Build-Key von SerNet signiert. Wenn Sie das Paket sernet-build-key-1.4-8 key installiert haben, kann die Verifizierung aufgrund eines rpm-Problems fehlschlagen. Nach der Installation der neuen Version sernet-build-key-1.4-9 muss das Problem manuell behoben werden.

Wenn Sie davon betroffen sind, entfernen Sie bitte zunächst die SerNet-Samba-Keys mit folgendem Befehl aus dem rpm Schlüsselbund:
# rpm --allmatches -e gpg-pubkey-f4428b1a
# rpm --allmatches -e gpg-pubkey-1b6d0337

Verwenden Sie anschließend den folgenden Befehl, um den Schlüssel in den rpm-Schlüsselbund zu importieren:
# rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-SerNet-Samba-Team-F4428B1A \
    /etc/pki/rpm-gpg/RPM-GPG-KEY-SerNet-Samba-Team-1B6D0337

SAMBA+ Pakete sind als Software-Abonnement erhältlich. Sie können im SAMBA+ Shop erworben werden, detaillierte Informationen und Preise sind unter https://shop.samba.plus aufgeführt. Die Abonnements werden auf unserer Plattform OPOSSO (https://oposso.samba.plus) verwaltet. Benutzer können ihre Abonnements hier aktivieren und die Zugangsdaten verwalten. Die neuen SAMBA+ Pakete sind in den bestehenden Abonnements enthalten.

Auswirkungen auf Samba von "ZeroLogon" CVE-2020-1472

Das Samba-Team hat über ein Problem informiert, das nur Samba betrifft, das als Domänencontroller verwendet wird (sowohl als klassischer/NT4-Style als auch als Active-Directory-DC). Bitte lesen Sie den folgenden Text sorgfältig, den wir auch hier veröffentlichen: 

Samba-Benutzer haben berichtet, dass der Exploit für "ZeroLogin" gegen Samba durchgeht. Samba hat einen gewissen Schutz für dieses Problem, da wir seit Samba 4.8 eine Voreinstellung von 'server schannel = yes' gesetzt haben. Benutzer, die diese Voreinstellung geändert haben, werden hiermit gewarnt, dass Samba das AES-Netlogon-Protokoll originalgetreu implementiert und somit dem gleichen Fehler im Kryptosystem-Design unterliegt.

Hersteller, die Samba 4.7 und darunter unterstützen, sollten ihre Installationen und Pakete patchen, um diese Voreinstellung zu ändern, da die Werte:

  • server schannel = no
  • server schannel = auto

NICHT sicher sind und wir erwarten, dass sie zu einer vollständigen Kompromittierung der Domäne führen können, insbesondere bei AD-Domänen.

Einige öffentliche Exploit-Tests, wie z. B. https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py bestätigen nur, dass ein ServerAuthenticate3 -Aufruf funktioniert, aber nicht, dass der ServerPasswordSet2 -Aufruf, der zum Ausnutzen der Domäne erforderlich ist, ebenfalls funktioniert.

Wie Microsoft schlagen wir vor, dass "server schannel = yes" für den sicheren Betrieb gesetzt werden muss. Dies ist unser Äquivalent zu Microsofts Registry-Schlüssel FullSecureChannelProtection=1, mit dem Unterschied, dass er in allen Samba-Hauptversionen, die in den letzten drei Jahren veröffentlicht wurden, bereits standardmäßig aktiviert ist.

Abschließend möchten wir noch anmerken, dass das Audit-Logging von Samba die ServerAuthenticate3- und ServerPasswordSet-Aufrufe einschließlich der Quell-IP aufzeichnet; Details zu den zu aktivierenden Optionen werden später gegeben.

Es scheint einige Legacy-Software zu geben, die immer noch "server schannel = auto" erfordert. Siehe die folgenden Bugs:

Wir werden eine zusätzliche Absicherung hinzufügen, die es Administratoren ermöglicht, "server schannel = yes" global zu verwenden und Ausnahmen nur für bestimmte Computerkonten zu definieren. Unser Fortschritt kann über diesen Fehler verfolgt werden: https://bugzilla.samba.org/show_bug.cgi?id=14497

Vorträge bei der SDC 2020
SDC 2020 Logo

Die diesjährige Storage Developer Conference (22. und 23. September 2020) wird ein ausschließlich virtuelles Event sein. Volker Ledecke and Stefan Metzmacher haben bereits Vorträge für den SMB-Track aufgezeichnet.

Volker Lendecke hält dabei den Vortrag "Samba locking architecture". Lendecke ist SerNet Mitgründer, Entwickler und langjähriges Mitglied des Samba Teams

Stefan Metzmachers Thema wird "Samba Multi-Channel/io_uring Status Update" sein. Er arbeitet als Entwickler bei SerNet und ist ebenfalls Mitglied des Samba-Teams.

Beide Gespräche werden in den "Day 1 Breakout Sessions" ab 11:20 Uhr PDT (20:20 Uhr MESZ) verfügbar sein. Die Registrierung für die SDC 2020 ist nach wie vor möglich. 

Samba und IBM Spectrum Scale (sambaXP 2020)
YouTube-Video abspielen

Christof Schmitt spricht in diesem Vortrag von der sambaXP-2020 über "Lehren aus der Verwendung von Samba in IBM Spectrum Scale". Er ist seit 2013 Mitglied des internationalen Samba-Teams und arbeitet als Software Engineer Spectrum Scale für IBM in Tucson, Arizona (LinkedIn).

Abstract

IBM Spectrum Scale ist ein softwaredefiniertes Speicherangebot eines geclusterten Dateisystems, das zusammen mit anderen Diensten gebündelt wird. Samba ist als Teil des Produkts enthalten, um einen geclusterten SMB-Dateiserver und die Integration in Active Directory bereitzustellen. In diesem Vortrag wird aus Entwickler-Sicht die Integration von Samba in ein Speicherprodukt besprochen und erläutert, was das Entwicklungsteam im Laufe der Jahre gelernt hat. Themen sind u.a. die Anforderung für automatisiertes Testen auf mehreren Ebenen und die Zusammenarbeit mit dem Upstream-Samba-Projekt. Beispiele veranschaulichen Probleme, die im Laufe der Zeit aufgetreten sind und wie sie gelöst wurden. Weitere Themen sind Herausforderungen, Lösungen und Lücken, die beim Einsatz von Samba aufgetreten sind.

Über die Reihe "sambaXP 2020 Retrospektive"

In dieser Reihe werden wir in den kommenden Wochen Aufnahmen der sambaXP 2020 präsentieren. Die 19. Auflage der internationalen Konferenz zur Open-Source-Software Samba fand vom 26. bis 28. Mai 2020 erstmals ausschließlich in digitaler Form statt. Aufgrund des geänderten Veranstaltungsformats und der Nutzung einer Online-Konferenzplattform kann Veranstalter SerNet alle Vorträge als Video zur Ansicht anbieten (Link).

Samba Files Server und IBM Spectrum Scale (sambaXP 2020)
Start Video

In diesem Vortrag von der sambaXP 2020 präsentiert Ingo Meents Anwendungsfälle und Anforderungen von Unternehmenskunden für Samba Files Server in IBM Spectrum Scale. Meents ist Protocol Tribe Lead bei der IBM Germany Research & Development GmbH. 

Abstract

IBM setzt Samba bereits seit vielen Jahren als Teil von Storage Solutions ein. Das aktuelle Produkt von IBM heißt Spectrum Scale und liefert geclustertes Samba an eine weltweite Nutzergruppe von Unternehmenskunden zusätzlich zu IBMs geclustertem Dateisystem GPFS.

Der erste Teil des Vortrags beschreibt ausgewählte Anforderungen, Anwendungsfälle und Erweiterungen, die in den vergangenen Jahren durch diese Mission vorangetrieben wurden. Dazu gehören Themen wie Dateikonflikte, Zugriffskontrolllisten und Mac-Unterstützung.

Der zweite Teil des Vortrags befasst sich mit den neuen Herausforderungen des Identity Mapping, wie serverseitige Gruppenauflösung für NFS-Clients und die steigende Nachfrage, sssd zu den geclusterten Samba-Serverknoten hinzuzufügen.

Über die Reihe "sambaXP 2020 Retrospektive"

In dieser Reihe werden wir in den kommenden Wochen Aufnahmen der sambaXP 2020 präsentieren. Die 19. Auflage der internationalen Konferenz zur Open-Source-Software Samba fand vom 26. bis 28. Mai 2020 erstmals ausschließlich in digitaler Form statt. Aufgrund des geänderten Veranstaltungsformats und der Nutzung einer Online-Konferenzplattform kann Veranstalter SerNet alle Vorträge als Video zur Ansicht anbieten (Link).

Contact us
Kontakt
Deutsch English Français