SAMBA+ 4.19.2-4 wurde soeben vom Samba-Team der SerNet veröffentlicht. Pakete für verschiedene SUSE- und Red Hat-Plattformen sowie für Debian GNU/Linux, Ubuntu und AIX sind jetzt verfügbar.
https://www.samba.org/samba/history/samba-4.19.2.html
Zusätzlich zu den Fixes aus den obigen Release Notes enthält SAMBA+ noch 2 weitere bemerkenswerte Fixes:
Ein Fix für Kerboros User2User TGS-REQ, der unter bestimmten Umständen verhindert, dass Benutzer Tickets für sich selbst abrufen können:
https://bugzilla.samba.org/show_bug.cgi?id=15492
Noch wichtiger ist die zweite zusätzliche Änderung, die die Berechtigung des Containers für gelöschte Objekte korrigiert (CVE-2018-14628). Es ist jedoch erforderlich, einen Befehl auszuführen, um die Berechtigung zu korrigieren, da die ACLs auf dem Container nicht automatisch geändert werden. Sie müssen Folgendes tun, um die Berechtigung zu korrigieren:
==================================================
Erforderliche Maßnahme zur Behebung von CVE-2018-14628
==================================================
Das gepatchte Samba schützt bestehende Domänen NICHT!
Der Administrator muss den folgenden Befehl ausführen (auf nur einem Domänencontroller), um den Schutz auf eine bestehende Domäne anzuwenden:
samba-tool dbcheck --cross-ncs --attrs=nTSecurityDescriptor --fix
Dies erfordert manuelle Eingriffe, um die Änderungen zu überprüfen, bevor sie angewendet werden. Typische Fragen sehen wie folgt aus:
Reset nTSecurityDescriptor on CN=Deleted Objects,DC=samba,DC=org back to provision default?
Owner mismatch: SY (in ref) DA(in current)
Group mismatch: SY (in ref) DA(in current)
Part dacl is different between reference and current here is the detail:
(A;;LCRPLORC;;;AU) ACE is not present in the reference
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY) ACE is not present in the reference
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA) ACE is not present in the reference
(A;;CCDCLCSWRPWPSDRCWDWO;;;SY) ACE is not present in the current
(A;;LCRP;;;BA) ACE is not present in the current
[y/N/all/none] y
Fixed attribute 'nTSecurityDescriptor' of 'CN=Deleted Objects,DC=samba,DC=org'
Die Änderung sollte mit "y" für alle Objekte, die mit "CN=Deleted Objects" beginnen, bestätigt werden.
Die nächsten Updates der SAMBA+-Pakete 4.17 und 4.18 werden auch CVE-2018-14628 beheben.
SAMBA+-Pakete sind als Software-Abonnements erhältlich und können im SAMBA+-Shop erworben werden. Detaillierte Informationen und Preise finden Sie unter usdshop.samba.plus (Währung: USD) oder shop.samba.plus (Währung: EUR). Die neuen SAMBA+-Pakete sind in den bestehenden Abonnements enthalten. Wenn Sie weitere Fragen haben oder ein Angebot anfordern möchten, können Sie uns gerne kontaktieren.
SerNet Samba-Team
