Blog

SAMBA+ 4.19.3-5 und 4.18.9-9  sind soeben vom Samba-Team der SerNet veröffentlicht worden. Pakete für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind ab sofort verfügbar.

Die Release-Historie finden Sie hier:

Der Fix für CVE-2018-14628, der nun Teil der Upstream-Versionen 4.19.3 und 4.18.9 ist, wurde bereits in SAMBA+ 4.19.2 bzw. SAMBA+ 4.18.8 behoben. Der Vollständigkeit halber beschreiben wir noch einmal, wie Sie den aktuellen Fix für die AD-Datenbank anwenden. Wenn Sie das bereits mit dem letzten SAMBA+ Update gemacht haben, müssen Sie die folgenden Schritte nicht noch einmal durchführen.

Maßnahmen zur Behebung von CVE-2018-14628 erforderlich

Das gepatchte Samba schützt bestehende Domains NICHT!

Der Administrator muss den folgenden Befehl ausführen (auf nur einem Domänencontroller), um den Schutz auf eine bestehende Domäne anzuwenden:

  samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix

Das obige Verfahren erfordert manuelle Eingriffe, um die Änderungen zu überprüfen, bevor sie angewendet werden. Typische Querys sehen wie folgt aus:

  Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
        Owner mismatch: SY (in ref) DA(in current)
        Group mismatch: SY (in ref) DA(in current)
        Part dacl is different between reference and current here is the detail:
                (A;;LCRPLORC;;;AU) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
                (A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
                (A;;LCRP;;;BA) ACE is not present in the current
   [y/N/all/none] y
  Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org' 

Die Änderung sollte mit 'y' für alle Objekte, bestätigt werden, beginnend mit:

'CN=Deleted Objects'.


SAMBA+ 4.19.2-4 wurde soeben vom Samba-Team der SerNet veröffentlicht. Pakete für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind jetzt verfügbar.

https://www.samba.org/samba/history/samba-4.19.2.html

Zusätzlich zu den Fixes aus den obigen Release Notes enthält SAMBA+ noch 2 weitere bemerkenswerte Fixes:

Ein Fix für Kerboros User2User TGS-REQ, der unter bestimmten Umständen verhindert, dass Benutzer Tickets für sich selbst abrufen können:

https://bugzilla.samba.org/show_bug.cgi?id=15492

Noch wichtiger ist die zweite zusätzliche Änderung, die die Berechtigung des Containers für gelöschte Objekte korrigiert (CVE-2018-14628). Es ist jedoch erforderlich, einen Befehl auszuführen, um die Berechtigung zu korrigieren, da die ACLs auf dem Container nicht automatisch geändert werden. Sie müssen Folgendes tun, um die Berechtigung zu korrigieren:

==================================================
Erforderliche Maßnahme zur Behebung von CVE-2018-14628
==================================================

Das gepatchte Samba schützt bestehende Domänen NICHT!

Der Administrator muss den folgenden Befehl ausführen (auf nur einem Domänencontroller), um den Schutz auf eine bestehende Domäne anzuwenden:

  samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix

Dies erfordert manuelle Eingriffe, um die Änderungen zu überprüfen, bevor sie angewendet werden. Typische Fragen sehen wie folgt aus:

  Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
        Owner mismatch: SY (in ref) DA(in current)
        Group mismatch: SY (in ref) DA(in current)
        Part dacl is different between reference and current here is the detail:
                (A;;LCRPLORC;;;AU) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
                (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
                (A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
                (A;;LCRP;;;BA) ACE is not present in the current
   [y/N/all/none] y
  Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org'

Die Änderung sollte mit "y" für alle Objekte, die mit "CN=Deleted Objects" beginnen, bestätigt werden.

Die nächsten Updates der SAMBA+-Pakete 4.17 und 4.18 werden auch CVE-2018-14628 beheben.

SAMBA+-Pakete sind als Software-Abonnements erhältlich und können im SAMBA+-Shop erworben werden. Detaillierte Informationen und Preise finden Sie unter usdshop.samba.plus (Währung: USD) oder shop.samba.plus (Währung: EUR). Die neuen SAMBA+-Pakete sind in den bestehenden Abonnements enthalten. Wenn Sie weitere Fragen haben oder ein Angebot anfordern möchten, können Sie uns gerne kontaktieren.

SerNet Samba-Team


SAMBA+ 4.19.1, 4.18.8 und 4.17.12 sind soeben veröffentlicht worden. Die Pakete für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind jetzt verfügbar. Bitte beachte: Es handelt sich um Sicherheitsupdates, die Pakete sollten so schnell wie möglich eingespielt werden. Diese Pakete beheben mehrere sicherheitsrelevante Probleme.

  • CVE-2023-3961 Nicht sanitisierter Client-Pipe-Name, der an local_np_connect() übergeben wurde
  • CVE-2023-4154 dirsync erlaubt SYSTEM-Zugriff nur mit dem Recht "GUID_DRS_GET_CHANGES", nicht "GUID_DRS_GET_ALL_CHANGES".
  • CVE-2023-4091 Der Client kann die Datei mit Nur-Lese-Berechtigung abschneiden
  • CVE-2023-42670 Die Vorgangsnummer liegt beim Starten von Active Directory-Benutzer und -Computer außerhalb des Bereichs
  • CVE-2023-42669 rpcecho, das im AD DC aktiviert ist und läuft, ermöglicht das Blockieren des Schlafs auf Anfrage

Außerdem enthält die Version 4.19.1 Korrekturen für:

  • Bug 15491: Heap-Pufferüberlauf mit Freshness-Tokens im Heimdal KDC

Das Samba-Team der SerNet hat SAMBA+ 4.19.0 veröffentlicht. Pakete für verschiedene SUSE- und Red-Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind ab sofort verfügbar.

Dies ist das erste stabile SAMBA+ Release der neuen Samba 4.19 Release Serie. Bitte testen Sie vor dem Upgrade gründlich. Lesen Sie die Release Notes sorgfältig! Sie enthalten Informationen zu den Änderungen und Features des neuen Major Releases: 

Außerdem ist SAMBA+ 4.18.7 erhältlich. Hierbei handelt es sich um ein Bugfix-Release. Details finden Sie hier:

Mit dem neuen Release 4.19 geht Samba 4.18 in den "Maintenance Mode" und Samba 4.17 in den "Security Fixes Only Mode". Samba 4.16 wird ab diesem Zeitpunkt keine Updates mehr erhalten. Die SAMBA+ 4.16 Repositories werden in Kürze abgeschaltet. Bitte aktualisieren Sie auf eine aktuelle Version von SAMBA+.

Bitte beachten Sie: Es wurde ein Fehler in der Interaktion mit Active-Directory-Domain-Controllern beobachtet, auf denen verschiedene Samba-Versionen laufen: Wenn Sie nur einige DCs auf 4.19 aktualisieren und andere weiterhin mit 4.18 oder älter betreiben, sind diese älteren Versionen auf eine Assert gestoßen, siehe die detaillierten Informationen über den Bug. Aus diesem Grund haben wir unsere SAMBA+ 4.19 Pakete erst veröffentlicht, als wir auch für 4.16, 4.17 und 4.18 gefixte Pakete zur Verfügung stellen konnten. Falls Sie einen 4.19-DC mit anderen SAMBA+ DCs installieren wollen, die ältere Versionen als 4.19 verwenden, stellen Sie sicher, dass Sie diese auf die letzte korrigierte Version von 4.18/4.17/4.16 aktualisieren, die wir ebenfalls veröffentlicht haben (4.18.7-9, 4.17.11-28 und 4.16.11-26). Dies betrifft keine Memberserver-Installationen. 

Die 4.16-Pakete werden in Kürze vom Server entfernt, da 4.17, 4.18 und 4.19 von nun an die unterstützten Release-Zweige sein werden.
 

Details zum Upgrade auf die neue SAMBA+ Version finden Sie in der SAMBA+ HowTo-Sammlung.


SAMBA+ 4.17.11 Software Pakete sind gerade von SerNet veröffentlicht worden. Sie sind ab sofort für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX verfügbar.

Diese Pakete beheben mehrere Probleme, die in den Release Notes aufgelistet sind:
https://www.samba.org/samba/history/samba-4.17.11.html

Das Verfahren für den Zugriff auf die SAMBA+ Softwarepakete hat sich geändert. Bitte schauen Sie in unser SAMBA+ HowTo, um mehr zu erfahren. 


Contact us
Kontakt
Deutsch English Français